PCT/FR00/02349 

TRAITE DF COOPERATION EN MATIERF^E BREVETS 



Expediteur: le BUREAU INTERNATIONAL 



PCT 

NOTIFICATION SELECTION 

(regie 61.2 du PCT) 


Destinataire: 

Commissioner 

US Department of Commerce 
United States Patent and Trademark 
Office, PCT 

2011 South Clark Place Room 

Arlington, VA 22202 
! ETATS-UNIS D'AMERIQUE 

en sa qualite d'office elu 


Date d'expedrtion Qour/mois/annee) 
, 06juin2001 (06.06.01) 




Demande internationale no 

PCT/FR00/02349 


Reference du dossier du deposant ou du mandataire 
BCT000077 


Date du depot international (jour/mois/annee) 
21 aout2000 (21.08.00) 


Date de priorite Gour/mois/annee) 
23 aout 1999 (23.08.99) 


Deposant 

LEROY, Xavier 



1 . L'office designe est avise de son election qui a ete fa ite: 

| X| dans la demande d'examen preliminaire international presentee a I'administration chargee de Texamen preliminaire 
international le: 

20 mars 2001 (20.03.01) 



j J dans une declaration visant une election ulterieure depos6e aupres du Bureau international le: 



2. Selection a ete faite 

r J n'a pas ete faite 

avant Texpiration d'un delai de 19 mois a compter de la date de priorite ou, lorsque la regie 32 s'applique, dans le delai vise 
a la regie 32.2b). 



Bureau international de I'OMPI 


Fonctionnaire autorise 


34, chemin des Colombettes 


Maria Kirchner 


121 1 Geneve 20, Suisse 




no de t6lecopieur: (41-22) 740.14.35 


no de telephone: (41-22) 338.83.38 
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Copie a l intention de l office designe (DO/US) PCT/FR00/02349 

TRAITE V COOPERATION EN MATIEF^ OE BREVETS 



Expediteur: le BUREAU INTERNATIONAL 



PCT 

NOTIFICATION DE L'ENREGISTREMENT 
D'UN CHANGEMENT 

(regie 92bis.1 et 
instruction administrative 422 du PCT) 


Destinataire: 

FRECHEDE, Michel 
Cabinet Plasseraud 
84, rue d'Amsterdam 
F-75440 Paris Cedex 09 
FRANCE 


Date d" expedition (jour/mois/annee) | 
30avril 2001 (30.04.01) 


Reference du dossier du deposant ou du mandataire 
BCT000077 


NOTIFICATION IMPORTANTE 


Demande Internationale no 
PCT/FR00/02349 


Date du depot international (jour/mois/annee) 
21 aout2000 (21.08.00) 



1. Les renseignements suivants etaient enregistres en ce qui concerne: 

X le deposant f ] Pinventeur | J le mandataire [~| le representant commun 


Norn et adresse 

TRUSTED LOGIC 
23, avenue de Fulpmes 
F-78450 Villepreux 
FRANCE 


Nationalite (nom de I'Etat) 
FR 


Domicile (nom de I'Etat) 
FR 


no de t6!6phone 


no de t6!6copieur 


no de t6l6imprimeur ] 


2. Le Bureau international notifie au deposant que le changement indique ci-apres a ete enregistre en ce qui concerne: 
la personne [ | le nom X I'adresse [ | la nationalite | | le domicile 


Norn et adresse 

TRUSTED LOGIC 
5, rue du Bailliage 
F-78000 Versailles 
FRANCE 


Nationalite (nom de PEtat) 
FR 


Domicile (nom de I'Etat) 
FR 


node telephone 


no detelecopieur 


no de teleimprimeur 


3. Observations compl6mentaires, le cas echeant: 


4. Une copie de cette notification a 6te envoyee: 
| X| a I'office r6cepteur | X| aux offices designes concern6s 
| | a Tadministration chargee de la recherche internationale | | aux offices elus concern6s 
a I'administration charg6e de I'examen prSliminaire international autre destinataire: 





Fonctionnaire autorise: 


Bureau international de I'OMPl 




34, chemin des Colombettes 


Dorothee Mulhausen 


1211 Geneve 20, Suisse 




no de telecopieur (41-22) 740.14.35 


no de telephone (41-22) 338.83.38 


Formuiaire PCT/IB/306 (mars 1994) 


003992268 



TRAITE DE CQjJ^RATION EN MATIERE DE^PEVETS 



notifica^oN^eWnrWstrement 

D UN CHANGEMENT 

(regie 92bis.1 et 
instruction administrative 422 du PCT) 


Destinataire: 

AMU 

FRFCHEDE Michel 

Cabinet Plasseraud; r- y -11 

84, rue d'Amsterdarrf % fc* Q (J * p- J 

P Psaric: PpHpy Off"""""*""*"""*— - — — * — £~ / 

FRANCE : ft/*/ 20C l7 ' 


Date d'expedrtion (jour/mois/annee) 

30avril2001 (30.04.01) 


k ^ IT""**""" — ~— — J / 
Cb* P.o...._ |||( / 


Reference du dossier du deposant ou du mandataire 
BCT000077 


NOTIFICATION IMPORTANTE 


Demande intemationale no 
PCT/FR00/02349 


Date du depot international (jour/mois/annee) 
21 aout 2000 (21 .08.00) 





I X[ le deposant 



[ | I'jnventeur | | le mandataire | | le representant commun 



Nom et adresse 

TRUSTED LOGIC 


Nationality (nom de I'Etat) 
FR 


Domicile (nom de I'Etat) 
FR 


23, avenue de Fulpmes 
F-78450 Villepreux 
FRANCE 


no de telephone 


no de telecopieur 


no de teleimprimeur 


2. Le Bureau international notifie au deposant que le changement indique ci-apres a ete enregistre en cequi concerne. 
□ lapersonne □ le nom \x\ I'adresse Q la nationality \_J le domicile 


Nom et adresse 

TRUSTED LOGIC 
I 5, rue du Bailliage 
F-78000 Versailles 
FRANCE 


Nationality (nom de I'Etat) 
FR 


Domicile (nom de rttatj 
I FR 


no de telephone 


no de telecopieur 


no de teleimprimeur 



3. Observations complementaires, le cas echeant: 



4. Une copie de cette notification a ete envoyee: 

|~X| al'officerecepteur [*] aux offices designes concernes 

[ | a I'administrationchargeede la recherche intemationale Q aux offices elus concernes 

| | a I'administrationchargeederexamenpryiiminaire international Q autre destinataire: 



■ n nxxi 

Ddro\hee Mulhau 



Bureau international de I'OMPI 
34, chemin des Colombettes 
1211 Geneve 20, Suisse 



no de telecopieur (41-22) 740.14.35 



Fonctionnaire autorise 



Mulhausen 



no de telephone (41-22) 338.83.38 



Formulaire PCT/IB/306 (mars 1994) 
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TRAITE DE COOPERATION EN MATIERE DE BREVETS 



Expediteur: L'ADMINISTRATION W^RGEE DE 

L'EXAMEN PRELIMINAIRE INTERNATIONAL 



Destinataire: / - 

FREDECHE, Michel et at. / f 

CABINET PLASSERAUD / .1?^^,, 
o*+, rue a Minbierucuri © r / o ^iTir^-CJd! /lirlV 
75440 -Par^e^ff H@§ W^WpJ^ 
FRANCE ^--^^^er x 


PCT 

n -"7 Notification de transmission du 

J ' J /RAPPORT D'EXAMEN PRELIMINAIRE 
— j INTERNATIONAL 

j (regie / i . i ou ko i ; 


Date d'expedition 

(jour/mois/annee) 20. 1 1 .200 1 


Reference du dossier du deposant ou du mandataire 
BCT000077 


NOTIFICATION IMPORTANT^ 


Demande internationale No. 
PCT/FR00/02349 


Date du depot international (jour/mois/anne'e) 
21/08/2000 


Date de priorite (jour/mois/annee) 
23/08/1999 


Deposant 

TRUSTED LOGIC et al. 



(I est notifie au deposant que radministration chargee de I'examen preliminaire international a etabli le rapport 
d'examen preliminaire international pour la demande internationale et -le lui transmet ci-joint, accompagne, le 
cas echeant, de ces annexes. 



2. Une copie du present rapport et, le cas echeant, de ses annexes est transmise au Bureau international pour 
communication a tous les offices elus. 



3. Si tel ou te! office elu i'exige, le Bureau international etablira une traduction en langue anglaise du rapport (a 
I'exclusion des annexes de celui-ci) et la transmettra aux offices interesses. 



4. RAPPEL 

Pour aborder la phase nationale aupres de chaque office elu, le deposant doit accomplir certains actes (depot 
de traduction et paiement des taxes nationales) dans le delai de 30 mois a compter de la date de priorite (ou 
plus tard pour ce qui concerne certains offices) (article 39.1) (voir aussi le rappel envoye par le Bureau 
international dans le formulaire PCT/IB/301 ). 

Losrqu'une traduction de la demande internationale doit etre remise & un office elu, elle doit comporter la 
traduction de toute annexe du rapport d'examen preliminaire international. II appartient au deposant d'etablir la 
traduction en question et de la remettre directement a chaque office elu interesse. 

Pour plus de precisions en ce qui concerne les delais applicables et les exigences des offices elus, voir le 
Volume II du Guide du deposant du PCT. 



Nom et adresse postale de I'adminstration charged de I'examen 
preliminaire international 

— Office europeen des brevets 

JfiS D-80298 Munich 

Sgf) Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax:+49 89 2399-4465 



Fonctionnaire autorise 
Schall, H 

Tel.+49 89 2399-2647 



Formulaire PCT/IPEA/416 (juillet 1992) 
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TRAITE D(^OOPERATION EN MATIER^>E BREVETS 

PCT 

RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 



Reference du dossier du deposant ou du 

mandataire 

BCT000077 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande internationale n° 
PCT/FR00/02349 


Date du depot international (jour/mois/annee) 
21/08/2000 


Date de priorite (jour/mois/annee) 
23/08/1999 


Classification internationale des brevets (CIB) ou a la fois classification nationale et CIB 
G06F9/00 


Deposant 

TRUSTED LOGIC et al. 



1. Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a Particle 36. 

2. Ce RAPPORT comprend 5 feuiiles, y compris la presente feuille de couverture. 

□ il est accompagne d'ANNEXES, c'est-a-dire de feuiiles de la description, des revendicationspu desjdessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuiiles contenant des rectifications faites aupres de 
I'administration chargee de I'examen preliminaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuiiles. 



3. Le present rapport contient des indications relatives aux points suivants: 



I 




Base du rapport 


II 


□ 


Priorite 


III 


□ 


Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle 


IV 


□ 


Absence d'unite de I'invention 


V 




Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 


VI 


□ 


Certains documents cites 


VII 


□ 


Irregularites dans la demande internationale 


VIII 


H 


Observations relatives a la demande internationale 



Date de presentation de la demande d'examen preliminaire 
Internationale 

20/03/2001 


Date d'achevement du present rapport 
20.11.2001 


Norn et adresse postale de f'administration chargee de 
I'examen preliminaire international: 

- Office europeen des brevets 
X?)) D-80298 Munich 
CZr 9 Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Fonctionnaire autorise /^^*^\ 
Lacroix.P (f Ml )) 

N° de telephone +49 89 2399 2707 



Formulaire PCT/I PEA/409 (feuille de couverture) (janvier 1994) 



THIS PAGE Bim% fl* 



RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande international n° PCT/FROO/02349 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande internationale (les feuilles de remp/acement qui ont ete remises 
a i'office recepteur en reponse a une invitation faite conformement a /'article 14 sont considerees dans le present 
rapport comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'e/fes ne contiennent 
pas de modifications (regies 70. 16 et 70.17)): 

Description, pages: 

1-68 version initiale 

Revendications, N°: 

1-27 version initiale 

Dessins, feuilles: 

1-14 version initiale . y; ;;v 



2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de I'administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la regie 55.2 ou 
55.3). 

3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement a I'administration, sous forme ecrite. 

□ remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-dela 
de la divulgation faite dans la demande telle que deposee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques & 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entraine I'annulation : 



Formulaire PCT/IPEA/409 {cadres l-VIII, feuille 1) Quillet 1998) 
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RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande internationale n° PCT/FR00/02349 



□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 

comme allant au-dela de I'expose de Tinvention tel qu'il a ete depose, comme il est indique ci-apres (regie 
70.2(c)): 

(Toute feuille de rempiacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 

6. Observations complementaires, le cas echeant : 



V. Declaration motivee selon Particle 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1 -27 

Non : Revendications 

Activite inventive Oui : Revendications 1 -27 

Non : Revendications 

Possibility d'application industrielle Oui : Revendications 1 -27 

Non : Revendications 

2, Citations et explications 
voir feuille separee 

VIII. Observations relatives a ia demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 



Formulaire PCT/1 PEA/409 (cadres I- VII I, feuille 2) Quillet 1998) 
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RAPPORT D'EXAMEN Demande internationale n° PCT/FR00/02349 

PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



Cone rnant le point V 

Declaration motivee selon 1'article 35(2) quant a la nouveaute, I'activite 
inventive et la possibility d'application industrielle; citations et explications 
a I'appui de cette declaration 

1 ) . II est fait reference au/x/ document/s/ suivant/s/: 

D1: US- A-5 748 964 

2) . La presente invention concerne un procede de transformation d'un code 

objet classique constituant d'une appliquette permettant une execution par un 
systeme informatique embarque disposant de faibles ressources. 

Etat de la Technique: 

Le telechargement d'une appliquette sur un systeme informatique embarque 
est soumis a une verification d'authenticite. D1 divulgue une verification statique 
simulant I' execution de I' appliquette au niveau des types de donnees et etablit, 
une fois pourtoutes, que le code de I' appliquette respecte les regies des types de 
donnees et de controle d' acces imposee par la machine virtuelle et ne provoque 
pas de debordement de pile. 

Probleme: 

Cette solution presente I' inconvenient d' un processus de verification 
statique du code complexe et couteux, tant en taille de code necessaire pour 
controller le processeur, qu' en taille de memoire vive necessaire pour contenir les 
resultats intermediates de la verification, et qu* en temps de calcul. Ces besoins 
en memoire depassent largement les capacites des ressources de la majorite des 
systemes informatiques embarques actuels. 

Solution: 

La presente invention met en oeuvre un processus de normalisation d un 
code objet d' origine en un code objet normalise a instruction de branchement a 
pile vide et en un code normalise faisant appel a des registres types tels qu' un 
meme registre est utilise sous un seul et meme type dans tout le code d' un sous- 
programme. Contrairement aux precedes de I' art anterieur, dans lesquels il est 



Formulaire PCT/Feuille s6par6e/409 (feuille 1) (OEB-avril 1997) 



THIS FHOE SLMft mm® 



RAPPORT D'EXAMEN Demande Internationale n° PCT/FR00/02349 

PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



necessaire de conserver en memoire le type de la pile a chaque cible de 
branchement, le procede de verification objet de la present invention, n' a besoin 
que du type de la pile d' execution lors de I' instruction en cours de verification et il 
ne conserve pas en memoire le type de cette pile pour d' autres sous- 
programmes. II s 1 ensuit un besoin de capacite de memoire reduit. 

3). Les revendications dependantes ont pour objet des formes particulieres de 

mise en oeuvre de T invention selon les revendications independantes. Elles 
satisfont done egalement aux criteres de nouveaute, d' activite inventive et 
d'application industrielle. 

Concernant le point VIII 

Observations relatives a la demande internationale 

II ressort clairement de la page 38 de la description que la caracteristique 
selon laquelle la pile doit etre vide a chaque instruction de branchement ou de 
cible de branchement, et/ou que tous les registres lors de I' initialisation de la 
methode soient initialises a zero est essentielle a la definition de I'invention. En 
effet, la simple phrase "un actualisation de I' effet de ladite instruction courante sur 
la pile des types et sur le tableau des types de registres n' implique en aucune 
fagon que les conditions C3, C4 (page 38) ala base de la presente invention 
soient remplies. 

Les revendications independantes ne contenant pas ces caracteristiques, elles ne 
remplissent pas les dispositions visees a 1'article 6 PCT en combinaison avec la 
regie 6.3 b) PCT, qui prevoient qu'une revendication independante doit contenir 
toutes les caracteristiques techniques essentielles a la definition de I'invention. 
Par consequent, les revendications independantes ne satisfont pas aux conditions 
requises a rarticle 6 PCT. 



Formulaire PCT/Feuille s6par6e/409 (feuille 2) (OEB-avril 1997) 



pct m 


Demande Internationale n J 


REQUETE 


Date du depot international 


Le soussigne requierr que la prcseme demande 
internacionale soic traitee conformement au Traite de 
uoupcruiiun cn mjucrc uc orevcts. 


i^uiu uc i uuic^ rectpieur ei L/emancc Internationale rL I 




Reference du dossier du deposant ou du mandataire (Jacultatif) 
mamaim a. mrtmme BCT00007? 



DE TRANSFORMATION D * UN FRAGMENT DE PROGRAMME TELECHARGE ET SYSTEMES 
COR RES POND ANTS 



Cadre n* U DEPOSANT 



n est indique ci-dessous.) 
TRUSTED LOGIC 
23, avenue de Fulpmes 
78^50 VILLEPREUX 
FRANCE 



□ 



Cette personne est aussi 
inventeur. 



n" dc telephone 



n" dc teiecopicur 



n" de teleimprimeur 



Nationalite (nom de I'Ltat) : 

FR 


Domicile (nom de I'Ei; 


U): 

FR 


Cette personne est j | to us I cs L tats r— tousles Htats designes sauf ( 1 Ies Etats-Unis d'Ameriquc { 1 |« Etais indiques dans 

deposant pour : | 1 dcs.gncs L2L- ^ Etats-Unis d'Ameriquc | | sculemem ^ | | JiTailScs^^x^ 


Cadre n« III AUTRE(S) DEPOSANT(S) OU (AUTRE(S)). INV ENTEUR(S) 


Nom et adresso : (Nom de famille sttivi du prennm; pour une personne morale, designation 
ojfic telle complete. L adresse doit comprendre le code postal et le nom du pavs. Le pavs de 
I adresse indtquee dans ce cadre est I litat ou le deposant a son domicile si aucun domicile 
n est indique ci-dessous.) 

LEROY Xavier 

88 bis, avenue de Paris 

78000 VERSAILLES 

FRANCE 


Cette personne est : 

| | deposant seulement 

| X | deposant et inventeur 

[ | inventeur seulement 
(Si cette case est cochee. 
ne pas remplir la suite.) 


Nationalite (nom de I'Ltat) : 


Domicile (nom de I'EtatJ : p R 


Cette personne est I | tuus les Etais I | tuus Ies Eiatsdcsigncs sauf rsr-i Ies Etais-Unis d*Amerique J lies Etais indiques dans 

deposant pour : I I dcsignes | | les Etats-Unisd\Amcrique | A I seulement I I le cadre SupplCfnemairc 


| [ D'autres deposants ou inventeurs sont indiques sur une feuille annexe. 


Cadre n" IV MANDATAIRE OU REPRESENTANT COMMUN; OU ADRESSE POUR LA CORRESPONDANCE 


La personne dont I'identite est donnee ct-dessous est/a ete designee pour agir au nom du ou rrr-j 
des deposants auprus des autorites internaiionales competentesreomme: " I 


mandataire j | representant commun 


Nom et adresse : (Nom de famille suivi du prenom; pour une person/re morale, designation officielle 
complete. L 'adresse doit comprendre le code postal et le nom du pavs.) 

FRECHEDE Michel - FORT Jacques - JACQUELIN 


n* dc telephone 

01 *A 63 fl l 11 


Marc-Henri - LOISEL Bertrand - VERDURE Stephane 
CABINET PLASSERAUD 
84 rue d' Amsterdam 


n* de teiecopicur 

01 42 80 01 59 


7544 0 PARIS CEDEX 09 
FRANCE 




n" de tcletmprimeur 


I I Adresse pour la correspondance : cocher cette case lorsquc aucun mandataire ni represcma/u commun n'est/n'a ete designe 
I — I et que I'espace ci-dessus est utilise pour indiquer une adresse speciale a laquelie la correspondance doit etrc envoyee. 
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Cadre n' V DESIGNATION D' El ATS 



Les desjgnations suivantes sont faites d^^nement a la regie 4.9.a) (cocner Us cases apprJ^Kf U ne au moms doit letre) ■ 
Brevet regional ^^JF 

□ AP Brevet ARIPO : CH Ghana CM Gambie, KE Kenya. LS Lesotho, MW Malawi. MZ Mozambique, SD Soudan 
SL S.erra Leone. SZ Swaziland. TZ Repubhque-Unie de Tanzanie, UC Ouganda, ZW Zimbabwe et tout autre Etat qu. es; un Eiat' 
con rractan t du Protocole de Harare et du PCT H cuu 

D EA 5rf^. , / ura - sie ^ : t ,M A ™ n !^ A ^ er ^ 

RU Federation de Russ.e, TJ Tadjikistan, TM Turkmenistan et tout autre Etat qui est un Etat conrractant de la Convention sur 
le brevet eurasien et du PCT 

13 EP nv V n eur ° P t en r : c^ T Autrich *: ?. E l Bc j8 i< ?" c - 9 1 et LI Suisse « Liechtenstein, CY Chypre, DE Allemasne, 
Dk Danernark, ES iEspagne. FI Fmlande, FR France, CB Royaume-Uni. CR Grece, IE Irlande, IT Italie 
LU Luxembourg, MC Monaco, NL Pays-Bas, PT Portugal, SE Suede et tout autre Etat qui est un Etat conrractant de la 
Convention sur le brevet europeen et du PCT 

D ° A ?3 V r' ° API ^A F A Urkin ^v F ^°- ? J £1",^ CF R *P ubli ^ centrafricaine, CG Congo, CI Cote d'lvoire 
TnT Ca u m f°Trr Gab ° n ' G,N . Guinec - Cvv Quinee-Bissau, ML Mali, MR Mauritania NE Niger SN Seneeaf 
TD Tchad, TC Togo et tout autre Etat qui est un Etat membre de I'OAPI et un Etat conrractant du PCT (si une autre forme 

de protection ou de trattement est souhaitee. le pricisersur la ligne pointillee) 

Brevet national (si une autre forme de protection oude trattement est souhaitee. le preciser sur la ligne pointillee) : 

□ AE Emirats arabes unis □ LC Sainte-Lucie 

□ AG Antigua-et-Barbuda □ LK Sri Lanka 

□ AL Albanie □ LR Liberia 

□ AM Armenie □ LS Lesotho 

□ AT Autriche □ LT Lituanie 

12 AU Australie □ LU Luxembourg 

□ AZ AzerbaTdjan □ LV Lettonie 

□ BA Bosnie-Herzegovine '. □ Ma Maroc 

□ BB Barbade □ MD Republique de Moldova 

□ BG Buigarie □ MG Madagascar 

□ BR Bresil □ mk Ex-Repubiique yougosiave de Macedoine 

□ BY Belarus □ MIS Mongolie 

□ BZ Belize □ MW Malawi 

EI CA Canada □ MX Mexique 

□ CH et LI Suisse et Liechtenstein □ MZ Mozambique 
H CN Chine □ NO Norvege 

□ CR Costa Rica □ NZ Nouveile-Zelande 

□ CU Cuba □ PL Pologne [ ] [ 

□ CZ Republique tcheque □ PT Portugal . . . : ...v . 

□ DE Allemagne . ,. V D ^RQ; Roumanic ^ 

□ DK Danernark ,y: : . ' RU Federation de Russie 

□ DM Dominique. □ SD Soudan 

□ DZ Algerie □ SE Suede 

□ EE Estonie □ SG Singapour 

□ ES Espagne □ SI Slovenie 

□ FI Finlande □ SK Slovaquie 

□ CB Royaume-Uni □ SL Sierra Leone 

□ CD Grenade □ TJ Tadjikistan 

□ GE Georgie □ TM Turkmenistan 

□ GH Ghana □ TR Turquie 

□ GM Gamble □ TT Trinite-ct-Tobago 

□ HR Croatie □ TZ Republique-Unie de Tanzanie 

□ HU Hongrie □ UA Ukraine 

□ ID Indonesie □ UG Ouganda 

□ IL Israel H US Etats-Unis d'Amerique 

□ IIS Inde □ UZ Ouzbckistan 

□ IS Islande □ VN Viet Nam 

H JP Japon Q YU Yougoslavie 

□ KE Kenya □ ZA Afrique du Sud 

□ KG Kirghizistan □ ZW Zimbabwe 

□ KP Republique populaire democratique de Coree ~ , A . . J9 + 

□ i^r» ^ *-> Case reservee pour la designation d Etats qui sont devenus panics au 

KR Republique de Coree PCT apres la publication de la presente feuille : 

□ KZ Kazakhstan □ 

Declaration concernant les designations de precaution : outre les designations faites ci-dessus, le deposant fait aussi conformement 
a la regie 4.9.b) toutes les designations qui seraient autorisees en venu du PCT, a ['exception de toute designation indiquee dans le cadre 
supplemental comme etant exclue de la ponee de cette declaration. Le deposant declare que ces designations additionnelles sont 
faites sous reserve de confirmation et que toute designation qui n 'est pas confirmee avant I ' expiration d*un delai de 1 5 mois a compter 
de la date de prion te doit etre consideree comme retiree par le deposant a I' expiration de ce delai. (La confirmation (ycomoris les taxes) 
doit parvenir a I 'office recepteur dans le delai de 1 5 mois.) 



Formulaire PCT/RO/ 1 0 1 (deuxieme feuille) Quillet 2000) y Q ir les notes relatives au/ormulaire de requete 



THIS PAGE BLANK wore) 



l-'euille n" 



3 



Cadre n" VI 



REVENDICATION DE P&jORITE 



Dale dc depot 
do la dcmandc anterieure 
(jour/mois/annee) 



Nu 

dc la dcniani 



PRJOP 
idWmiei 



□ 



D'autres rcvendications de prioriie sont 
indtqj^^dans le cadre supplemental. 



Lorsque la dcmande ant 



dcmandc nationals 
pays 



dcmandc rcgionale :• 
office regional 



dcmandc imcrnaiionale : 
office recepteur 



(1) 



23/08/1999 



99 10697 



FRANCE 



(2) 



(3) 



□ 



L 'office receptcur est prie de preparer cl dc iransmeltrc au Bureau international une copie certifiee conforme de la ou des demandes 
anterieures (seulement si la demande anterieure a ete deposee aupres de I 'office qui, aux fins de 
la preserve demande Internationale, est I 'office recepteur) indiquces ci-dessus au(x) point(s) : 



* Si fa demande anterieure est une demande ARIPG. il est ohliguloire d'indiquer dans le cadre supplemental au moins un pays partie a la Convention 
de Paris pour la protection de la proprieie industrielfe pour leguel cette demande anterieure a ete deposee {regie 4.10.b)ii)). Voir ie cadre supple me ntaire. 



Cadre n° VII ADMINISTRATION CHARCEE DE LA RECHERCHE INTERNATIONALE 



Choix de ('administration chargee de la recherche 
Internationale (ISA) (si plusieurs administrations 
chargee s de la recherche Internationale sont competentes 
pour precede r it la recherche Internationale, indiquer 
V administration choisie: le code d deux lettres peut etre 
utilise) : 

isa/ ep : 



Demande d'utilisation des resultats d'une recherche anterieure: mention de 
cette recherche (si une recherche anterieure a ete effectuee par I administration 
chargee de la recherche Internationale ou demandee a cette derniere) : 

Date (Jour/mois/annee) Numero Pays (ou office regional) 



04/07/2000 



FA 583732 



FRANCE 



Cadre n B VIII BORDEREAU; LANG If E DE DEPOT 



La presente demande internationale conticnt 
ie nombre de feuilles suivant : 



requete 


3 


2 


description (sauf panic rescrvec 
au listage des sequences) 


68 


3 

.4. 


rcvendications 


17 


' 5 


abrege : 


1 


6 


dessins • 


14 


7 


panic de la description reservee 
au listage des sequences 




8 


Nombre total de feuilles 


103 


9 



Le ou les elements coches ci-apres sont joints a la presente demande internationale : 
1 . EI feuille de calcul des taxes 



biologique deposes 

listage des sequences de nuc 
dech iff ruble par ordinateur 



Figure des dessins qui 
doit accompagncr I 'abrege : 



Langue de depot de la 

demande internationale : 



FRANC AIS 



Cadre n° IX 



SIGNATURE DU DEPOSANT OU DU MANDATAIRE 



A cote de chaque signature, indiquer le nam du signatuire et. si cela n 'apparait pas clairement d la lecture de la requete. a quel litre I 'interesse signe. 

VERDURE Stephane 




11 aoat 2000 



Reserve a F office recepteur 



I. Date effective de reception des pieces supposces 
constituer la demande internationale : 

3. Date effective de reception, rectified en raison de la reception ulte- 
rieurc. mais dans les delais, de documents ou de dessins completant ce 
qui est suppose constituer la demande internationale : 



4. Date de reception, dans les delais, des corrections 
demandees selon F article 1 1.2) du PCT : 



2. Dessins : 
I I recus : 



□ 



non recus : 



5. Administration chargee de la recherche tq a i 
internationale (si plusieurs sont competentes) : ioA ' 



6. 



□ Transmission de la copie de recherche differee 
jusqu'au paiement de la t&xe de recherche. 



Reserve au Bureau international 



Date de reception de Fcxemplaire 
original par le Bureau international : 



Formulairc PCT/RO/10 1 (demierc feuille) (juillct 1998; reimpression Janvier 2000) Voir les notes relatives auformulaire de requete 



THIS PRGE BLAMft fl*" 0 * 



Cette /euille ncfait pas partie de la demande Internationale ni ne compte com me une feuille de celle-ci. 



PCT 



FEUILLE DE CALCUL DES TAXES 
Annexe de la requctc 



Reference du dossier du n rTnnnn7 7 
deposanioudumandatairc BLIUUUU/' { 



Reserv^l'ofnce recepieur 



Demande international n° 



Timbre a date de Toffiee recepieur 



Deposant 



TRUSTED LOGIC 



CALCUL DES TAXES PRESCRITES 

I. TAXI- DC TRANSMISSION . . . 



400,00 FF 



TAXE DE RECHERCHE 

Recherche Internationale a effectuer par 

(Si plusivurs administrations char gees de la recherche Internationale sunt 
competentcs en ce qui concerne la demande Internationale, inscrire le nam de celle 
qui est choiste pour la recherche Internationale.) 

TAXE INTERNATIONALE 
Taxe de base 

La demande internationale contient 



6 198,79 FF 



103 



feu i lies. 



30 premieres feu i lies 

73 x 

feuilles suivanles 



59,94 FF 
montant additionne! 



| 2 682,86 FF 



bl 



4 309,92 FF 



b2 



Additionner les montants portes dans les cadres 
bl ct b2et inscrire le total dans le cadre B . . . 



Taxes de designation 

La demande internationale contient 

6 



designations. 



6 992,78 FF 



577,24 FF 



montant de la taxe de designation 



3 463,44 FF 



nombrc de taxes de 
designation dues (maximum S) 

Additionner les montants portes dans les cadres B et D, et 

inscrire le total dans le cadre I 

(Les deposants de certains Etats ont droit a une reduction de 75 % sur la taxe 
internationale. Lorsque le deposant a (ou tous les deposants ont) droit a cette 
reduction, la somme devant Jigurer sous I est egale a 25 % de la somme des 
montants jigurant sous B et D.J 

4. TAXE AFEERENTE AU DOCUMENT DE PRIORITE fie cas echeant) . 

5. TOTAL DES TAXES DUES 

Additionner les montants portes dans les cadres 

T. S. I et P. et inscrire le resultat dans le cadre TOTAI 



A 10 456,22 FF 



17 055,01 FF 



TOTAL 



I I Ees taxes de designation seront payees ulterieuremcnt. 



MODE DE PAIEMENT 

□ autorisation de debiter un compte I | traite bancaire [ coupons 

de depot (voir ci-dessous) 1 — 1 Jz= 

A cheque I I especes j_| auircs (preciser): 

[ ] mandat postal | | timbres fiscaux 



AUTORISATION CONCERNANT UN COMPTE DE DEPOTS offices recepteurs ne permettent pas tous I'utilisation de ce mode de paiement) 



L'offiec recepieur/ 



□ 
□ 

□ 



est autorise a debiter mon compte de depot du total des taxes indique ci-dessus. 

(cette case ne peut etre cache e que si les conditions relatives aux comptes de depot etablies par V office 
recepieur le permettent) est autorise a debiter mon compte de depot de tout montant manquant - ou i le 
crediter de tout excedent - dans le paiement du total des taxes indiqu£ ci-dessus. 

est autorise a d6biter mon compte de depot du montant de la taxe atTerente & retablissement du document 
de priority et \ sa transmission au Bureau international de I'OMPL 



Numero du compte de depot 



Date (jour/mois/annee) 



Signature 



Formulaire PCT/RO/101 (Annexe) (janvier 2000) 



Voir les notes relatives a la feuille de calcul des taxes 
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INTER^^NAL SEARCH REPORT 



Intei^^V ' Application No 

PCT/Fk 00/02349 



CLASSIFICATION OF SUBJECT MATTER 

PC 7 G06F9/445 G06F9/45 



Accoroing 10 International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (dassitication system followed by classification symbols) 

PC 7 606F 



Documentation searched other than minimum Documentation to the extent that such documents are included in the lie Ids searched 



Electronic data base consulted during the international search (name ol data base ana where practical, search terms used) 

EPO-Internal , PAJ, INSPEC, COMPENDEX 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category ° Citation ol document, with indication, where appropnaie. ot the relevant passages 



Relevant to claim No. 



US 5 740 441 A (GOSLING JAMES A ET AL) 
14 April 1998 (1998-04-14) 

column 1, line 1 -column 15, line 11 

column 17, line 7 - line 10 
column 18, line 21 - line 23 
column 18, line 32 - line 34 

GOSLING J ET AL: "THE JAVATM LANGUAGE 
SPECIFICATION" , JAVA LANGUAGE 
SPECIFICATION, XX.XX, PAGE(S) 215-236 
XP002042923 

page 218, line 10 -page 220, line 35 

-/— 



1-5,7,8, 

10-13, 

19,20, 

23,24 

15,16, 

21,25 

26,27 



1-5,7,8, 

10-13, 

19,20, 

23,24 

6,9 



HI 



Further documents are listed in the continuation of box C. 



ID 



Patent family members are listed in annex. 



* Special categories of dted documents : 

"A* document defining the general state ot the art which is not 

considered to be ot particular relevance 
*E* earlier document but published on or after the international 

tiling dale 

•L* document which may throw doubts on poo my daim(s) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 

*0* document referring to an oral disclosure, use. exhibition or 
other means 

*P* document published prior to the international tiling date but 
later than the priority date claimed 



•T* later document published after the international tiling date 
or priority date and not in conflict with the application but 
dted to understand the principle or theory underlying the 
invention 

•X" document ot parttcutar relevance, the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

"Y" document ot particular relevance: the claimed invention 

cannot be considered lo involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
in the art. 

*&* document member of the same patent family 



Date of the actual completion of the international search 



11 June 2001 



Date ol mailing ot the international search report 



19/06/2001 



Name and mailing address of the ISA 

European Patent Office. P.B. 581 8 Patent laan 2 
NL - 2280 HV Rifswijk 
TeL t+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: 031-70) 340-3016 



Authorized officer 



Kingma, Y 



Form PCT/ISA/210 (a 



a met) Uuly 1992) 



page 1 of 2 



IIMTE 



IONAL SEARCH REPORT 



A' 



]uc Application No 

PCT/FK 00/02349 



C(Continuaiion) DOCUMENTS CONSIDERED TO BE RELEVANT — — ^— . 

Category " Citation ol document, with indication. wnere appropriate, ot the relevant passages 



Relevant to claim No. 



GONG L ET AL: "Going beyond the sandbox: 
an overview of the new security 
architecture in the JavaDevelopment Kit 
1.2" , PROCEEDINGS OF THE USENIX SYMPOSIUM 
ON INTERNET TECHNOLOGIES AND SYSTEMS 
XP002100907 

page 107, right-hand column, line 1 -page 
108, left-hand column, line 3 

GUTHERY: " JAVA CARD: Internet Computing 
on a Smart Card" 

IEEE INTERNET COMPUTING, US , IEEE SERVICE 
CENTER, PISCATAWAY, NO, 

1 February 1997 (1997-02-01), pages 
57-59, XP002077647 
ISSN: 1089-7801 

page 58, right-hand column, line 19 -page 
59, middle column, line 24 



1,4,19, 
26 



Form PCT/1SA/210 (continual ion ot sooono sheet) (July 1992) 



page 2 of 2 



INTERN 

In. 



AL SEARCH REPORT 

patent family members 



intem^^^Appikjation No 

PCT/FR 00/02349 



Patent document 
cited in search report 



Publication 
dat 



Patent family 
member(s) 



Publication 
date 



US 5740441 



14-04-1998 



US 
US 
EP 
JP 



5748964 A 
5999731 A 
0718764 A 
8234994 A 



05-05-1998 
07-12-1999 
26-06-1996 
13-09-1996 



form PCTflSA/210 (patent family annex) (July 1992) 



Tt* ********* 



» RAPPORT DE RECH 



E INTERNATIONALE 



PCT7FK 



*r Rationale No 



PCT7FK 00/02349 



A. CLASSEMENT DE L'OBJET DE LA OEMANDE 

CIB 7 G06F9/445 G06F9/45 



Selon la classification Internationale Pes brevets (CIB) ou a la lois selon la classification nationale et la CIB 



B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Oocumeniation mini male consultee (sy si erne ae classification suivi aes symDoies de ctassement) 

CIB 7 G06F 



Documentation consultee autre que la oocumeniation minimaie cans la mesure ou ces oocuments reievent aes domaines sur tesquets a pone la recherche 



Base oe a on nee s elect ronique consultee au cours de la recnercne Internationale mom de la base ae donnees. et si realisable, lermes de recnercne utilises) 

EPO-Internal, PAJ, INSPEC, COMPENDEX 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Calegone " identdication des documents cites, avec. te cas echeant. I' indication des passages pertinents 



no. des revendicat ions vb 



US 5 740 441 A (GOSLING JAMES A ET AL) 
14 avril 1998 (1998-04-14) 



colonne 1, ligne 1 -colonne 15, ligne 11 

colonne 17, ligne 7 - ligne 10 
colonne 18, ligne 21 - ligne 23 
colonne 18, ligne 32 - ligne 34 

GOSLING J ET AL: "THE JAVATM LANGUAGE 
SPECIFICATION" , JAVA LANGUAGE 
SPECIFICATION, XX, XX, PAGE(S) 215-236 
XP002042923 

page 218, ligne 10 -page 220, ligne 35 

-/-- 



1-5,7,8, 

10-13, 

19,20, 

23,24 

15,16, 

21,25 

26,27 



1-5,7,8, 

10-13, 

19,20, 

23,24 

6,9 



Voir la suite du cadre C pour la tin de la lisle des oocuments 



Les documents de families de brevets son! mdiques en annexe 



* Categories speciaies de documents cues: 

"A* document definissant ret at general de la technique, non 

considere com mo paniculieremeni penmen t 
'E* document anieheur. mars publie a (a date de depot international 

ou apres cette date 

*L° document pouvant jeter un doufe sur une revendicat ion de 
pnonte ou cite pour determiner ta date de publication d une 
autre citation ou pour une raison speaale (telle qu'indiquee) 

*0* document se reterant a une divulgation oraie. a un usage, a 
une exposition ou tous autres moyens 

•P* document publie avant !a date de depot international, mais 
posteneurement a la date de pnonte revendiquee 



*T* document ulterieur publie apres la date de depot international ou la 
date de pnonte et n'appanenenam pas a I'etal de la 
technique pertinent . mais cite pour comprendre te principe 
ou la theone const nuant la base de I'm vent ion 

*X* document paniculieremeni pertinent: rtnven lion revendiquee ne peut 
etre consideree com me nouvelle ou com me tmpliquanl une actrvae 
inventive par rappon au oocumeni considere tsotemeni 

*Y* document panicufieremenf pertinent: rinven lion revendiquee 

ne peut etre consideree comme impttquant une actrviie inventive 
torsque le oocumeni est assooe a un ou ptusieurs autres 
documents de meme nature, cette combinaison etant evidente 
pour une person ne du metier 

*&" document qui fait pa rue de la meme tamMIe de brevets 



Date a laqueUe la recnercne intemationaie a ete eftectivemeni achevee 



11 juin 2001 



Date o expeamon du present rapport de recnercne Internationale 



19/06/2001 



Nomei adresse po stale de r admin tsf ration chargee de la recherche Internationale 
Office Europeen des Brevets. P.B. 5618 Patentiaan 2 
NL - 2260 HV Rqswifk 
Tel (+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax (+31-70) 340-3016 



Fonctionnaire autonse 



Kingma, Y 



Formula w« PCT/lSA/2iO (O 



9 fouifla) Oudtol 1992) 



page 1 de 2 



RAPPORT DE RECHA0JEHE INTERNATIONALE 



C.(suite) DOCUMENTS CONSIDERES COMME PERTINENTS 



PCT/F 



trnationale No 

7FK 00/02349 



Identification des documents cites, avec.ie cas echeant, i'lndicationdes passages peninents 



no. des revendications vtsees 



GONG L ET AL: "Going beyond the sandbox: 
an overview of the new security 
architecture in the JavaDevelopment Kit 
1.2" , PROCEEDINGS OF THE USENIX SYMPOSIUM 
ON INTERNET TECHNOLOGIES AND SYSTEMS 
XP002100907 

page 107, colonne de droite, ligne 1 -page 
108, colonne de gauche, ligne 3 

GUTHERY: "JAVA CARD: Internet Computing 
on a Smart Card" 

IEEE INTERNET COMPUTING, US, IEEE SERVICE 
CENTER, PISCATAWAY, NJ, 

1 fevrier 1997 (1997-02-01), pages 57-59, 
XP002077647 
ISSN: 1089-7801 

page 58, colonne de droite, ligne 19 -page 
59, colonne du milieu, ligne 24 



1,4,19, 
26 



Formula ire PCT/ISA/210 (suite de la deuxnme teu»lto) (tuUo\ 1992) 



page 2 de 2 



RAPPORT DE RECHE 

Rerweignements retatifs mux i .tf 



E INTERNATIONALE 

(amines de brevets 




Oem^^H ^nationals No 

PCT/FK 00/02349 



Document brevet cite 
au rapport de recherche 



Date de 
publication 



Membre(s) de la 
famine de brevet(s) 



Date de 
publican n 



US 5740441 



14-04-1998 



US 
US 
EP 
JP 



5748964 A 
5999731 A 
0718764 A 
8234994 A 



05-05-1998 
07-12-1999 
26-06-1996 
13-09-1996 



Foomrtairo PCT/1SA/2 10 (annexe tamtfJes OB txevets, (juitfet 1992) 



TRAITE d^OOPERATION EN MATIEtj ^bE BREVETS 



PCT 



recd 2 2 NOV 2001 



Iwipo 

RAPPORT D'EXAMEN PRELIMINAIRE INTLHNA I IUNAL 



PCT 



T 



(article 36 et regie 70 du PCT) 



Reference du dossier du d6posant ou du 

mandataire 

BCT000077 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande international e n° 
PCT/FR00/02349 


Date du depot international (jour/mois/ann6e) 
21/08/2000 


Date de priorite (jour/mois/ann£e) 
23/08/1999 


Classification internationale des brevets (CIB) ou a la fois classification nationale et CIB 
G06F9/00 


Deposant 

TRUSTED LOGIC et al. 



1. Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
('administration chargee de I'examen preliminaire international (voir la regie 70.16 et ['instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. — 



3. Le present rapport contient des indications relatives aux points suivants: 



Priorite 



I 




II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 


El 



Absence de formulation d'opinion quant a la nouveaute, Tactivite inventive et la possibility 
d'appiication industrielle 



d'application industrielle; citations et explications a I'appui de cette declaration 



Date de presentation de la demande d'examen preliminaire 
Internationale 

20/03/2001 



Date d'achevement du present rapport 
20.11.2001 



Norn et adresse postal e de I'administ ration chargee de 
I'examen preliminaire international: 

Office europeen des brevets 
D-80298 Munich 

T6I. 449 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 



Fonctionnaire autorisS 
Lacroix, P 

N° de telephone +49 89 2399 2707 




Formulaire PCT/IPEA/409 (feuille de couverture) (janvier 1994) 



# 



THIS PAGE BUM (usfto) 




RAPPORT D'EXAMEN 

PRELIMINAIRE INTERNATIONAL Demande Internationale n° PCT/FR00/02349 



I. Bas du rapport 

1 . En ce qui concerne les elements de la demande international (les feuilles de remplacement qui ont 6te remises 
a I'office recepteur en r&ponse £ une invitation faite conformGment a I'articie 14 sont considerees dans le present 
rapport comme "initialement depos£es" et ne sont pas jointes en annexe au rapport puisqu'eltes ne contiennent 
pas de modifications (regies 70. 16 et 70.17)): 

Description, pages: 

1-68 version initiale 

Revendications, N°: 

1-27 version initiale 

Dessins, feuilles: 

1-14 version initiale * 

2. En ce qui concerne la langue, tous les Elements indiques ci-dessus etaient a la disposition de ('administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la r6gle 23.1(b)). 

□ la langue de publication de la demande internationale (selon la r&gle 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la r&gle 55.2 ou 
55.3). 

3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement a I'administration, sous forme ecrite. 

□ remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entraine I'annulation : 
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□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 



5. □ Le present rapport a 6te formul6 abstraction faite (de certaines) des modifications, qui ont ete consid^rees 
comme allant au-dela de l'expos§ de I'invention tel qu'il a ete depose, comme il est indiqu6 ci-apres (regie 
70.2(c)): 

(Toute feui/le de remplacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 



6. Observations complementaires, le cas echeant : 



V. Declaration motivee selon l article 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 



Nouveaute 


Oui : 


Revendications 


1-27 




Non : 


Revendications 




Activite inventive 


Oui : 


Revendications 


1-27 




Non : 


Revendications 




Possibilite d'application industrielle 


Oui : 


Revendications 


1-27 




Non : 


Revendications 





2. Citations et explications 
voir feuille separee 



VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 
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Concernant le point V 

Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite 
inventive et la possibility d'application industrielle; citations et explications 
a I'appui de cette declaration 

1) . II est fait reference au/x/ document/s/ suivant/s/: 

D1: US- A- 5 748 964 

2) . La presente invention concerne un procede de transformation d'un code 

objet classique constituant d'une appliquette permettant une execution par un 
systeme informatique embarque disposant de faibles ressources. 

Etat de la Technique: 

Le telechargement d'une appliquette sur un systeme informatique embarque 
est soumis a une verification d'authenticite. D1 divulgue une verification statique 
simulant I' execution de I' appliquette au niveau des types de donnees et etablit, 
une fois pourtoutes, que le code de I' appliquette respecte les regies des types de 
donnees et de controle d' acces imposee par la machine virtuelle et ne provoque 
pas de debordement de pile. 

Probleme: 

Cette solution presente I' inconvenient d' un processus de verification 
statique du code complexe et couteux, tant en taille de code necessaire pour 
controller le processeur, qu' en taille de memoire vive necessaire pour contenir les 
resultats intermediates de la verification, et qu' en temps de calcul. Ces besoins 
en memoire depassent largement les capacites des ressources de la majorite des 
systemes informatiques embarques actuels. 

Solution: 

La presente invention met en oeuvre un processus de normalisation d un 
code objet d* origine en un code objet normalise a instruction de branchement a 
pile vide et en un code normalise faisant appel a des registres types tels qu* un 
meme registre est utilise sous un seul et meme type dans tout le code d' un sous- 
programme. Contrairement aux procedes de I 1 art anterieur, dans lesquels il est 
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necessaire de conserver en memoire le type de la pile a chaque cible de 
branchement, le procede de verification objet de la present invention, n' a besoin 
que du type de la pile d* execution lors de I' instruction en cours de verification et il 
ne conserve pas en memoire le type de cette pile pour d 1 autres sous- 
programmes. II s' ensuit un besoin de capacite de memoire reduit. 

3). Les revendications dependantes ont pour objet des formes particulieres de 

mise en oeuvre de I' invention selon les revendications independantes. Elles 
satisfont done egalement aux criteres de nouveaute, d' activite inventive et 
d'application industrielle. 

Concernant le point VIII 

Observations relatives a la demande internationale 

II ressort clairement de la page 38 de la description que la caracteristique 
selon laquelle la pile doit etre vide a chaque instruction de branchement ou de 
cible de branchement, et/ou que tous les registres lors de I' initialisation de la 
methode soient initialises a zero est essentielle a la definition de I'invention. En 
effet, la simple phrase "un actualisation de I' effet de ladite instruction courante sur 
la pile des types et sur le tableau des types de registres n' implique en aucune 
fagon que les conditions C3, C4 (page 38) a la base de la presente invention 
soient remplies. 

Les revendications independantes ne contenant pas ces caracteristiques, elles ne 
remplissent pas les dispositions visees a 1'article 6 PCT en combinaison avec la 
regie 6.3 b) PCT, qui prevoient qu'une revendication independante doit contenir 
toutes les caracteristiques techniques essentielles a la definition de I'invention. 
Par consequent, les revendications independantes ne satisfont pas aux conditions 
requises a 1'article 6 PCT. 



Formulaire PCT/Feuille s6par6e/409 (feuille 2) (OEB-avril 1997) 



! S PAGE BUkMK mm) 



(12) DEMANDE INTERNATIONALE PUBLIEE EN VERTU DU TRAITE DE COOPERATION 

EN MATIERE DE BREVETS (PCT) 



(19) Organisation Mondiale de la Propri'te 
Intellectuelle 

Bureau international 

If;- fTO/PGl 

(43) Date de la publication Internationale 

1 mars 2001 (01.03.2001) PCT 




2 2 FEB 2002 

(10) Numero de publication Internationale 

WO 01/14958 A2 



(51) Classification Internationale des brevets 7 : G06F 9/00 

(21) Numero de la demande Internationale: 

PCI7FR00/02349 



(72) Inventeur; et 

(75) Inventeur/Deposant (pour US settlement): LEROY, 
Xavier [FR/FR]; 88 bis, avenue de Paris, F-78000 Ver- 
sailles (FR). 



(22) Date de depot international: 21 aout 2000 (21.08.2000) 

(25) Langue de depot: francais 

(26) Langue de publication: francais 

(30) Donnees relatives a la priorite: 

99/10697 23 aout 1999 (23.08.1999) FR 



(74) Mandataires: FRECHEDE, Michel etc.; Cabinet 
Plasseraud, 84, me d % Amsterdam, F-75440 Paris Cedex 09 
(FR). 

(81) Etats designes (national): AU, CA, CN, JP, US. 

(84) Etats designes (regional): brevet europeen (AT, BE, CH, 
CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, PT, 
SE). 



(71) Deposant (pour tous les Etats designes sauf US): 
TRUSTED LOGIC [FR/FR]; 23, avenue de Fulpmes, 
F-78450 Villepreux (FR). 



Publiee: 

— Sans rapport de recherche Internationale, sera republiee 
des reception de ce rapport. 

[Suite sur la page suivante] 



(54) Title: MANAGEMENT PROTOCOL, METHOD FOR VERIFYING AND TRANSFORMING A DOWNLOADED PRO- 
GRAMME FRAGMENT AND CORRESPONDING SYSTEMS 

(54) Titre: PROTOCOLE DE GESTION, PROCEDE DE VERIFICATION ET DE TRANSFORMATION D'UN FRAGMENT DE 
PROGRAMME TELECHARGE ET SYSTEMES CORRESPONDANTS 




EXEEUTCT 
I'APPUXJETTE 

V&ERCATtONS 
WN4MI0UES 



j jl* APPljOLgTTEl O'EHBElj 



PROTOCOLf DE CCSTiON 
MANAGEMENT PROTOCOL 
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109 ..SEARCH FOR APPLET IN REPERTDRE 

1 10.. .EXECUTE APPLET WITHOUT DYNAMIC CHECKS 

100a. COMMANDE READ 

100&..COMMANO - DOWNLOAD ? 

1 0B ..COMMAND • SELECTION OF APPLET 

1 1 1 —STANDARD COMMAND PROCESSING 



J 01.. APPLET CODE DOWNLOADED 
* 02. -DOWNLOADED CODE VERIFIED 
101.. VERIFICATION SUCCESSFUL!. ? 
! OS-DELETE APPLET 
107._ERROR CODE 
104...ADD APPLET TO REPERTORE 
105... RECEIVE ACKNOWLEDGEMENT 
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(57) Abstract: The invention relates to a management protocol and to a method for verifying a programme fragment, or applet, 
which has been downloaded onto a portable system. An applet downloading command (100a, 100b) is executed. Once a positive 
response has been received, the object code of the applet is read (101) and subjected (102) to a verification process, instruction by 
instruction. The verification process consists of a stage comprising the initialisation of the type stack and table of register types 
representing the state of the virtual machine of the portable system at the start of the execution of the applet code; and a verification, 
instruction by instruction, for each target current instruction, of the existence of a target branch instruction, a target exception handler 
call or a target sub-routine call, the effect of the instruction on the type stack and the table of register types being verified and updated. 
If the verification is successful (103a), the applet is registered (104) and an acknowledgement is sent (105) to the downloading drive. 
Otherwise, the applet is destroyed (106). The invention is suitable for use for portable systems in a Java environment. 
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PROTOCOLE DE GES TI ON, PROC EDE DE VERI FIC ATI ON ET DE 
TRANSFORMATION D'UN FRAG MENT DE PROGRAMME TELECHARGE ET 

SYSTEME S CORRESPOND ANTS 



un 



5 L 1 invention concerne un protocole de gestion, 

procede de verification, un procede de transformation d'un 
fragment de programme telecharge et les systemes 
correspondants, plus particulierement destines aux 
systemes inf ormatiques embarques disposant de faibles 
10 ressources en memoire et en puissance de calcul. 

D'une maniere generale, en reference a la figure 
la, on rappelle que les systemes inf ormatiques embarques 
10 comportent un microprocesseur 11, une memoire 
permanente, telle qu'une memoire non inscriptible 12 
contenant le code du programme executable, une memoire 
permanente, non volatile, reinscriptible 13 de type EE PROM 
contenant les donnees stockees dans le systeme, une 
memoire vive, volatile, 14 dans laquelle le programme 
stocke ses resultats intermediaires pendant son execution, 
et des dispositifs d' entree/sortie 15 permettant au 
systeme d'interagir avec son environnement . Dans le cas ou 
le systeme informatique embarque est constitu€ par une 
carte a microprocesseur, du type carte bancaire, le 
dispositif d f entree/sortie 15 consiste en une liaison 
25 serie permettant a la carte de communiquer avec un 
terminal, tel qu'un terminal lecteur de cartes. 

Dans les systemes inf ormatiques embarques 
classiques, le code du programme execute par le systeme 
est fige lors de la construction du systeme, ou, au plus 
tard, lors de la personnalisation de ce dernier avant 
livraison a 1 f utilisateur final. 
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microprocesseur 11 mais doit etre interprets de maniere 
logicielle par une machine virtuelle 16, laquelle est 
constitute par un programme residant en memoire permanente 
non inscriptible 12. Dans l'exemple precite des cartes 

5 JavaCard, la machine virtuelle utilisee est un sous- 
ensemble de la machine virtuelle Java. Pour une 
description des specifications relatives a la machine 
virtuelle Java et de la machine virtuelle utilisee, on 
pourra utilement se reporter a 1 1 ouvrage publie par Tim 

10 LINDHOLM et Frank YELL IN, intitule "The Java Virtual 
Machine Specification", Addison-Wesley 1996, et a la 
documentation editee par la societe SUN MICROSYSTEMS INC. 
"JavaCard 2.1 Virtual Machine Specification", 

documentation disponible £lectroniquement sur le site 

15 W.W.W. http://java.sun.com/products/javacard/JCVMSpec.pdf, 
mars 1999. 

L 1 operation de telechargement d 'appliquettes sur 
un systeme informatigue embarque en service pose 
d f importants problemes de securite. Une appliquette 

20 involontairement , voire volontairement , mal ecrite peut 
modifier de maniere incorrecte des donnees pr6sentes sur 
le systeme, empecher le programme principal de s'executer 
correctement ou en temps voulu, ou encore modifier 
d J autres appliquettes telechargees anterieurement , en 

25 rendant celles-ci inutilisables ou nuisibles. 

Une appliquette ecrite par un pirate informatique 
peut egalement divulguer des inf ormations conf identielles 
stockees dans le systeme, informations telles que le code 
d'acces dans le cas d ! une carte bancaire par exemple. 
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A I'heure actuelle, trois solutions ont ete 
proposees en vue de remedier au probleme de securite des 
appliquettes. 

Une premiere solution consiste a utiliser des 
5 signatures cryptographiques afin de n ' accepter que des 
appliquettes provenant de personnes ou d 1 organismes de 
conf iance . 

Dans 1 1 exemple d'une carte bancaire precite, seules les ■ 
appliquettes portant la signature cryptographique de la 

10 banque ayant emis la carte sont Receptees et executees par 
la carte, toute autre appliquette non signee etant rejetee 
au cours de 1" operation de telechargement . Un utilisateur 
mal intent ionn6 de la carte, ne disposant pas de cles de 
chiffrement de la banque, sera done dans 1 1 incapacity de 

15 faire ex§cuter une appliquette non signee et dangereuse 
sur la carte . 

Cette premiere solution est bien adaptee au cas ou toutes 
les appliquettes proviennent d'une meme source unique, la 
banque dans 1 1 exemple precite. Cette solution est 

20 dif f icilement applicable au cas ou les appliquettes 
proviennent de plusieurs sources, comme, dans l 1 exemple 
d'une carte bancaire, le fabricant de la carte, la banque, 
les organismes gestionnaires des services par carte 
bancaire, les grands organismes de distribution 

25 commerciale offrant a la clientele des programmes de 
fidelisation et proposant, legitimement , de tel^charger 
des appliquettes specif iques sur la carte. Le partage et 
la detention entre ces divers acteurs economiques des cles 
de chiffrement necessaires a la signature €lectronique des 

30 appliquettes posent des problemes techniques, economiques 
et juridiques majeurs. 
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Une deuxieme solution consiste a effectuer des 
controles dynamiques d'acces - et de typage pendant 
1 1 execution des appliguettes . 

Dans cette solution, la machine virtuelle lors de 
5 1' execution des appliquettes , effectue un certain nombre 
de controles, tels que : 

controle d'acces a la memo ire : a chaque lecture ou 
ecriture d'une zone memoire, la machine virtuelle 
verifie le droit d'acces de 1 ' appliquette aux donnees 
10 correspondantes ; 

verification dynamique des types de donnees : a chaque 
instruction de 1 1 appliquette , la machine virtuelle 
verifie que les contraintes sur les types de donnees 
sont satisfaites. A titre d'exemple, la machine 
15 virtuelle peut traiter specialement les donnees telles 

que des adresses memoire valides et empecher que 
1 1 appliquette n ' engendre des adresses memoire invalides 
par 1 ' intermediaire de conversions ent ier/adresse ou 
d 1 operations arithmetiques sur les adresses ; 
20 - detection des debordements de pile et des acces 
illegaux dans la pile d' execution de la machine 
virtuelle, lesquels, dans certaines conditions, sont 
susceptibles de perturber le f onctionnement de cette 
derniere, au point de contourner les mecanismes de 
25 controle precedents , 

Cette deuxieme solution permet 1' execution d'une large 
gamrae d 1 appliquettes dans des conditions de securite 
satisf aisantes . Elle presente toutefois 1 1 inconvenient 
d ! un ralentissement considerable de 1' execution, provoque 
30 par 1' ensemble des verifications dynamiques. Pour obtenir 
une reduction de ce ralentissement, une partie de ces 
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verifications peut etre prise en charge par le 
microprocesseur lui-meme, au prix toutefois d'une 
augmentation de la complexity de ce dernier et done du 
prix de revient du systeme embarque. De telles 
5 verifications augmentent en outre les besoins en memoire 
vive et permanente du systeme, en raison des informations 
supplementaires de type qu'il est necessaire d'associer 
aux donnees manipulees. 

Une troisieme solution consiste a effectuer une 
10 verification statique du code de 1 ' appliquette lors du 
telechargement . 

Dans cette solution, cette verification statique simule 
l 1 execution de 1 • appliquette au niveau des types de 
donnees et etablit, une fois pour toutes, que le code de 

15 1 ' appliquette respecte la regie des types de donnees et de 
controle d'acces imposee par la machine virtuelle et ne 
provoque pas de debordement de pile. Si cette verification 
statique reussit, 1 1 appliquette peut alors etre execute 
sans qu'il soit necessaire de verifier dynamiquement que 

20 cette regie est respectee. Dans le cas ou le processus de 
verification statique echoue, le systeme embarque rejette 
l 1 "appliquette" et ne permet pas son execution ulterieure. 
Pour une description plus detaillee de la troisieme 
solution precit^e, on pourra utilement se reporter a 

25 l'ouvrage edite par Tim LINDHOLM et Frank YELLIN 
precedemment cite, a l f article publie par James A. GOSLING 
intitule "iJava Jnte-rmediate Byte Codes", Actes du ACM 
SIGPLAN, Workshop on Intermediate Representations (IR'95), 
pages 111-118, janvier 1995, et au brevet US 5,748,964 

30 delivre le 05/05/1998. 
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Vis-a-vis de la deuxieme solution, la troisieme 
solution presente l'avantage d'une execution des 
appliquettes beaucoup plus rapide, puisque la machine 
virtuelle n'effectue aucune verification pendant 

5 1 ' execution. 

La troisieme solution presente toutefois 1 1 inconvenient 
d'un processus de verification statique du code complexe 
et couteux, tant en taille de code necessaire pour 
conduire ce processus, qu'en taille de memoire vive 

10 necessaire pour contenir les resultats intermediaires de 
la verification, et qu'en temps de calcul . A titre 
d'exemple illustratif, la verification de code integre 
dans le systeme Java JDK commercialise par SUN 
MICROSYSTEMS represente de l'ordre de 50 k-octets de code 

15 machine, et sa consommation en memoire vive est 
proportionnelle a (Tp + Tr) xNb ou Tp designe 1 1 espace 
maximum de pile, Tr designe le nombre maximum de registres 
et Nb designe le nombre maximum de cibles de branchements 
utilisees par un s ous- programme , encore communement 

20 designe par methode, de 1 1 appliquette Ces besoins en 
memoire depassent largement les capacites des ressources 
de la majorite des systemes inf ormatiques embarques 
actuels, notamment des cartes a microprocesseur 
commercialement disponibles • 

25 Plusieurs variantes de la troisieme solution ont et§ 
proposees, dans lesquelles l'editeur de 1 1 appliquette 
transmet au verif icateur , outre le code de 1 1 appliquette , 
un certain nombre d 1 inf ormations supplement aires 
sp6cifiques telles que types de donnees precalcul^s ou 

30 preuve preetablie de typage de donnees correct. Pour une 
description plus detaillee des modes operatoires 
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Logons supp^entaires percent 
cod. Pius rapidement et de reduire legerement la 

rf. verification mais ne permettent 
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LocessTs pouvant etre rapprocne. au moins dans son 
ce processus p pr6c4denment d4crlCe , 

dans des teenni^ues nouveiies de verification 

30 To! tntro Xs. afin de permettre .execution de cette 
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verification dans les limites de valeurs de taille memoire 
et de vitesse de calcul imposees par les cartes a 
microprocesseur et autres systemes inf ormatiques embarques 
peu puissants. 

5 Un autre objet de la presente invention est 

egalement la mise en ceuvre de procedes de transformation 
de fragments de programmes de type classique obtenus par 
exemple par la mise en ceuvre d'un compilateur iJava en 
fragments de programmes, ou appliquettes # normalises, 

10 satisf aisant a priori aux criteres de verification du 
procede de verification objet de 1' invention, en vue 
d'accelerer le processus de verification et d 1 execution de 
ces derniers au niveau des systemes inf ormatiques 
embarques ou cartes a microprocesseur actuels. 

15 Un autre objet de la presente invention est, 

enfin, la realisation de systemes inf ormatiques embarques 
permettant la mise en ceuvre du protocole de gestion et du 
procede de verification d'un fragment de programme 
telecharge precites ainsi que de systemes inf ormatiques 

20 permettant la mise en oeuvre des procedes de transformation 
de fragments de programmes, ou appliquettes, classiques en 
fragments de programmes, ou appliquettes, normalises 
precites . 

Le protocole de gestion d'un fragment de programme 
25 t§lecharge sur un systeme embarque reprogrammable, objet 
de la presente invention, s' applique notamment a une carte 
a microprocesseur munie d'une m€moire reinscriptible . Le 
fragment de programme est constitue par un code objet, 
suite d' instructions, executable par le microprocesseur du 
30 systeme embarque par 1 1 intermediaire d'une machine 
virtuelle munie d'une pile d' execution et de registres ou 
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variables locales manipulees par ces instructions et 
permettant d 1 interpreter ce code objet. Le systeme 
embarque est interconnects a un terminal . 

II est remarquable en ce qu'il consiste au moins, au 
5 niveau du systeme embarque, a detecter une commande de 
telechargement du fragment de programme. Sur reponse 
positive a l'etape consistant a detecter une commande de 
telechargement, il consiste en outre a lire le code objet 
constitutif du fragment de programme et a memoriser 
10 temporairement ce code objet dans la memoire 
reinscriptible. L ' ensemble du code objet memorise est 
soumis a un processus de verification instruction par 
instruction. Le processus de verification consiste au 
moins en une etape d 1 initialisation de la pile des types 
et du tableau des types de registres representant l'etat 
de la machine virtuelle au debut de 1 ' execution du code 
objet memorise temporairement et en une succession 
d'etapes de verification instruction par instruction de 
1 'existence, pour chaque instruction courante, d'une 
cible, cible d 1 instruction de branchement, cible d'un 
gestionnaire d ■ exceptions , et en une verification et une 
actualisation de l'effet de 1 • instruction courante sur la 
pile des types et sur le tableau des types de registres. 
Dans le cas d'une verification non reussie du code objet, 
le protocole objet de 1' invention consiste a ef facer le 
fragment de programme enregistre moment anement , en 
1' absence d 1 enregistrement de ce dernier dans le 
repertoire de fragments de programmes disponibles, et a 
adresser au lecteur un code d'erreur. 
30 Le proc^de de verification d'un fragment de 

programme telecharge sur un systeme embarque, objet de 
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1' invention, s 1 applique notamment a une carte a 
microprocesseur munie d'une memoire reinscriptible . Le 
fragment de programme est constitue par un code objet et 
comporte au moins un sous -programme, suite d 1 instructions , 

5 executable par le microprocesseur du systeme embarque par 
1 1 intermediaire d'une machine virtuelle munie d'une pile 
d' execution et de registres d'operandes manipules par ces 
instructions et permettant d 1 interpreter ce code objet. Le 
systeme embarque est interconnects a un lecteur. 

10 II est remarquable en ce que, suite a la detection d'une 
commande de telechargement et a la memorisation du code 
objet cons ti tut if du fragment de programme dans la memoire 
reinscriptible, il consiste, pour chaque sous -programme , a 
effectuer une etape d 1 initialisation de la pile des types 

15 et du tableau des types de registres par des donnees 
representant l'etat de la machine virtuelle au debut de 
1' execution du code objet memorise temporairement, a 
effectuer une verification du code objet memorise 
temporairement instruction par instruction, par 

20 discrimination de 1' existence, pour chaque instruction 
courante, d'une cible d' instruction de branchement, d'une 
cible d'un appel d'un gestionnaire d' exceptions ou d'une 
cible d'un appel de sous -routine et a effectuer une 
verification et une actualisation de l'effet de 

25 1 ' instruction courante sur les types de donnees de la pile 
des types et du tableau des types de registres, en 
fonction de 1' existence d'une cible d ' instruction de 
branchement, d'une cible d'un appel de sous-routine ou 
d'une cible d'un appel de gestionnaire d ' exceptions . La 

30 verification est reussie lorsque le tableau des types de 
registres n'est pas modifie au cours d'une verification de 
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toutes les instructions, le processus de verification 
etant poursuivi instruction par instruction jusqu'a ce que 
le tableau des types de registres soit stable, en 
1 'absence de modification. Le processus de verification 
5 est interrompu sinon. 

Le procede de transformation d'un code objet d'un 
fragment de programme en un code objet normalise pour ce 
meme fragment de programme, objet de la presente 
invention, s 1 applique a un code objet d'un fragment de 

10 programme dans lequel les operandes de chaque instruction 
appartiennent aux types de donnees manipulees par cette 
instruction, la pile d 1 execution ne presente pas de 
phenomene de debordement et pour chaque instruction de 
branchement le type des variables de la pile au niveau de 

15 ce branchement est le meme qu'au niveau des cibles de ce 
branchement. Le code objet normalise obtenu est tel que 
les operandes de chaque instruction appartiennent aux 
types de donnees manipulees par cette instruction, la pile 
d' execution ne presente pas de phenomene de debordement et 

20 la pile d* execution est vide a chaque instruction de cible 
de branchement . 

II est remarquable en ce qu'il consiste, pour 1' ensemble 
des instructions du code objet, a annoter chaque 
instruction courante par le type de donnees de la pile 

25 d 1 execution avant et apres 1' execution de cette 
instruction, les donnees d f annotation etant calculees au 
moyen d'une analyse du flot des donnees relatif a cette 
instruction, a detecter au sein des instructions, - et de 
chaque instruction courante, 1' existence de branchements 

30 pour lesquels la pile d 1 execution n'est pas vide, 
1' operation de detection etant conduite a partir des 
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donnees d' annotation du type de variables de pile allouees 
a chague instruction courante . En presence d'une detection 
d'une pile d' execution non vide, il consiste en outre a 
inserer des instructions de transfert des variables de 
5 pile de part et d 1 autre de ces branchements ou de ces 
cibles de branchement afin de vider le contenu de la pile 
d' execution dans des registres temporaires avant ce 
branchement et de retablir la pile d' execution a partir 
des registres temporaires apres ce branchement et a 

10 n' inserer aucune instruction de transfert sinon. 

Ce procede permet ainsi d'obtenir un code objet normalise 
pour ce meme fragment de programme, dans lequel la pile 
d 1 execution est vide a chague instruction de branchement 
et de cible de branchement, en 1 1 absence de toute 

15 modification de l f execution du fragment de programme. 

Le procede de transformation d'un code objet d'un 
fragment de programme en un code objet normalise pour ce 
meme fragment de programme, objet de la presente 
invention, s' applique, en outre, a un code objet d'un 

20 fragment de programme dans lequel les operandes de chaque 
instruction appartiennent aux types de donnees manipulees 
par cette instruction, et un op^rande" de type determine 
ecrit dans un regis tre par une instruction de ce code 
objet est relu depuis ce meme registre par une autre 

25 instruction de ce code objet avec le meme type de donnee 
determine. Le code objet normalise obtenu est tel que les 
operandes appartiennent aux types de donnees manipulees 
par cette instruction, un seul et meme type de donnee 
etant allou€ a un meme registre dans tout le code objet 

30 normalise. 
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II est remarquable en ce qu'il consiste, pour l r ensemble 
des instructions du code objet, a annoter chaque 
instruction courante par le type de donnee des registres 
avant et apres 1' execution de cette instruction, les 

5 donnees d' annotation etant calculees au moyen d'une 
analyse du flot des donnees relatif a cette instruction, 
et a effectuer une reallocation des registres d'origine 
employes avec des types differents, par division de ces 
registres d'origine en registres normalises distincts. Un 

10 registre normalise est alloue a chaque type de donnee 
utilise. Une reactualisation des instructions qui 
manipulent les operandes qui font appel aux registres 
normalises est ef f ectuee . 

Le protocole de gestion d'un fragment de 

15 programme, le procede de verification d'un fragment de 
programme, les procedes de transformation de code objet de 
fragments de programmes en code objet normalise et les 
systemes correspondants , objets de la presente invention, 
trouvent application au d§veloppement des systemes 

20 embarques reprogrammables , tels que les cartes S 
microprocesseur , notamment dans 1 1 environnement Java. 

II seront mieux compris a la lecture de la 
description et a 1 ' observation des dessins ci-apres, dans 
lesquels, outre les figures la et lb relatives a l*art 

25 anterieur : 

la figure 2 represente un organigramme illustratif du 
protocole de gestion d f un fragment de programme 
telecharge sur un systeme embarque reprogrammable, 
la figure 3a represente, a titre illustratif, un 

30 organigramme d'un procede de verification d'un fragment 
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de programme telecharge conformement a I'objet de la 
presente invention, 

la figure 3b represente un diagramme illustratif des 
types de donnees et des relations de sous-typage mis en 
oeuvre par le procede de gestion et le procede de 
verification d'un fragment de programme telecharge, 
objet de la presente invention, 

la figure 3c represente un detail du procede de 
verification selon la figure 3a, relatif a la gestion 
d'une instruction de branchement, 

la figure 3d represente un detail du procede de 

verification selon la figure 3a, relatif a la gestion 

d'une instruction d'appel de sous -routine, 

la figure 3e represente un detail du procede de 

verification selon la figure 3a, relatif a la gestion 

d'une cible d'un gestionnaire d 1 exceptions , 

la figure 3f represente un detail du procede de 

verification selon la figure 3a, relatif a la gestion 

d'une cible de branchements incompatibles , 

la figure 3g represente un detail du procede de 

verification selon la figure 3a, relatif a la gestion 

d'une absence de cible de branchement, 

la figure 3h represente un detail du procede de 
verification selon la figure 3a, relatif a la gestion 
de l'effet de 1 1 instruction courante sur la pile des 
types, 

la figure 3i represente un detail du procede de 
verification selon la figure 3a, relatif a la gestion 
d'une instruction de lecture d'un registre, 
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- la figure 3j represente un detail du procede de 
verification selon la figure 3a, relatif a la gestion 
d'une instruction d'ecriture d'un registre, 

- la figure 4a represente un or gani gramme illustratif 
5 d'un procede de transformation d'un code objet d'un 

fragment de programme en un code objet normalise pour 
ce meme fragment de programme a instruction de 
branchement respectivement de cible de branchement a 
pile vide, 

10 - la figure 4b represente un organigramme illustratif 
d'un procede de transformation d'un code objet d'un 
fragment de programme en un code objet normalise pour 
ce meme fragment de programme faisant appel a des 
registres types, a chaque registre etant attribue un 

15 seul type de donnee specif ique, 

- la figure 5a represente un detail de raise en ceuvre du 
procede de transformation illustre en figure 4a, 

- la figure 5b represente un detail de mise en oeuvre du 
procede de transformation illustre en figure 4b, 

20 . ia figure 6 represente un schema fonctionnel de 
1' architecture complete d'un systeme de developpement 
d'un fragment de programme normalise, et d'une carte a 
microprocesseur reprogrammable permettant la mise en 
oeuvre du protocole de gestion et du procede de 
25 verification d'un fragment de programme conformement a 

1' objet de la presente invention. 

D'une maniere generale, on indique que le 
protocole de gestion, le procede de verification et de 
transformation d'un fragment de programme telecharge, 
30 objet de la presente invention, ainsi que les systemes 
correspondants, sont mis en oeuvre grace a une architecture 
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logicielle pour le telechargement et l 1 execution surs 
d 1 appliquettes sur un systeme inf ormatique embargue 
disposant de faibles ressources, tel que notamment les 
cartes a micropro.cesseur. 

5 D'une maniere generale, on indique que la 

description ci-apres concerne 1 1 application de 1 1 invention 
dans le contexte des cartes a microprocesseur 
reprogrammables de type JavaCard, confer documentation 
disponible electroniquement aupres de la societe SUN 

10 MICROSYSTEMS INC. rubrique JavaCard Technology 

precedemment mentionnee dans la description. 

Toutefois, la presente invention est applicable a 
tout systeme embarque reprogrammable par 1 ' intermSdiaire 
d'un telechargement d 1 appliquette ecrite dans le code 

15 d'une machine virtuelle comprenant une pile d* execution, 
des registres ou variables locales et dont le modele 
d 1 execution est fortement type, chaque instruction du code 
de 1 1 appliquette ne s'appliquant qu'a des types de donnees 
specif iques. Le protocole de gestion d'un fragment de 

20 programme telecharg£ sur un systeme embarque 
reprogrammable, objet de la presente invention, sera 
maintenant decrit de maniere plus detaillee en liaison 
avec la figure 2 . 

En liaison avec la figure precitee, on indique que 

25 le code objet const itut if du fragment de programme ou 
appliquette est constitu£ par une suite d 1 instructions 
executables par le microprocesseur du systeme embarque par 
1 1 intermediaire de la machine virtuelle precedemment 
mentionnee. La machine virtuelle permet d 1 interpreter le 

30 code objet precite. Le systeme embarque est interconnects 
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a un terminal par 1 ' intermediaire d'une liaison serie par 
exemple . 

En reference a la figure 2 precedemment 
mentionnee, le protocole de gestion objet de la presente 
5 invention consiste au moins , au niveau du systeme 
embarque, a detect er en une etape 100a, 100b, une commande 
de telechargement de ce fragment de programme. Ainsi, 
l 1 etape 100a peut consister en une etape de lecture de la 
commande precitee et 1 1 etape 100b en une etape de test de 
0 la commande lue et de verification de l'existence d'une 
commande de telechargement . 

Sur reponse positive a 1' etape de detection 100a, 
100b precitee d'une commande de telechargement, le 
protocole objet de la presente invention consiste ensuite 
15 a lire a 1 1 etape 101 le code objet constitutif du fragment 
de programme considere et a memoriser temporairement le 
code objet precite dans la memoire du systeme informatique 
embargue. L' operation de memorisation temporaire precitee 
peut etre executee soit dans la memoire reinscriptible, 
20 soit, le cas ech€ant, dans la memoire vive du systeme 
embarque, lorsque cette derniere presente une capacite 
suffisante. L 1 etape de lecture du code objet et de 
memorisation temporaire de ce dernier dans la memoire 
reinscriptible est designee par chargement du code de 
25 1 1 appliquette sur la figure 2. 

L'Stape precitee est alors suivie d'une etape 102 
consistant a soumettre 1« ensemble du code objet memorise 
temporairement a un processus de verification, instruction 
par instruction, du code objet precite. 
30 Le processus de verification consiste au moins en 

une etape d 1 initialisation de la pile des types et du 



1 I 

WO 01/14958 



PCT/FROO/02349 



19 

tableau des types de donnees representant 1 1 etat de la 
machine virtuelle au debut de 1' execution du code objet 
memorise temporairement, ainsi qu'en une succession 
d'etapes de verification instruction par instruction par 
5 discrimination- de 1 "existence, pour chaque instruction 
courante, notee Ii, d'une cible telle qu'une cible 
d 1 instruction de branchement notee CIB, une cible d'appel 
d'un gestionnaire d' exceptions ou une cible d'un appel de 
sous-routine* Une verification et une actualisation de 
10 l'effet de 1 1 instruction courante 1± sur la pile des types 
et sur le tableau des types de registres est effectuSe. 

Lorsgue la verification est reussie a 1 1 etape 
103a, le protocole objet de la presente invention consiste 
a enregistrer a l 1 etape 104 le fragment de programme 
15 telecharge dans un repertoire de fragments de programmes 
disponibles et a envoyer a 1 1 etape 105 au lecteur un 
accuse de reception positif - 

Au contraire, dans le cas d'une verification non 
reussie du code objet a 1 ■ etape 103b, le protocole objet 
20 de 1' invention consiste a inhiber, en une etape 103c, 
toute execution, sur le systeme embarque du fragment de 
programme enregistre momentanement . L 1 6tape d 1 inhibition 
103c peut itre mise en oeuvre de differentes manieres . 
Cette etape peut, a titre d'exemple non limitatif, 
25 consister a ef facer a 1' etape 106 le fragment de programme 
enregistre momentanement en 1 1 absence d 1 enregistrement de 
ce fragment de programme dans le repertoire de fragments 
de programmes disponibles et, a une etape 107, a adresser 
au lecteur un code d'erreur. Les Stapes 107 et 105 
30 peuvent etre realisees soit sequent iellement apres les 
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stapes 106 respectivement 104, soit en operation 
multitache avec celles-ci. 

En reference a la m§me figure 2, sur reponse 
negative a I'etape consistant a detecter une commande de 
5 telechargement a I'etape 100b, le protocole objet de la 
presente invention consiste a detecter, en une etape 108, 
une commande de selection d ! un fragment de programme 
disponible dans un repertoire de fragments de programmes 
et, sur reponse positive a I'etape 108,* la selection d'un 

10 fragment de programme disponible etant detectee, a appeler 
a I'etape 109 ce fragment de programme disponible 
selectionne en vue de son execution. L'^tape 109 est alors 
suivie d'une #tape d' execution 110 du fragment de 
programme disponible appele par 1 ' intermediaire de la 

15 machine virtuelle en 1' absence de toute verification 
dynamique de types de variables, des droits d'acces aux 
objets manipules par le fragment de programme disponible 
appele ou du debordement de la pile d' execution lors de 
l 1 execution de chaque instruction. 

20 Dans le cas ou une reponse negative est obtenue a 

I'etape 108, cette etape consistant a detecter une 
commande de selection d'un fragment de programme 
disponible appele, le protocole objet de la presente 
invention consiste a proceder, a une etape 111, au 

25 traitement des commandes standard du systeme embarque . 

En ce qui concerne 1' absence de verification 
dynamique de type ou de droit d'acces aux objets de type 
JavaCard par exemple, on indique que cette absence de 
verification ne compromet pas la surete de la carte car le 

30 code de 1 ' appliquette a necessairement passe avec succes 
la verification. 
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D'une maniere plus specif ique, on indique que la 
verification de code effectuee, conformement au procede 
objet de 1' invention, sur la carte a microprocesseur ou 
sur le systeme informatique embarque est plus selective 
5 que la verification habituelle de codes pour la machine 
virtuelle Java telle que decrite dans 1 ' ouvrage intitule 
"The Java Virtual Machine Specification" precedemment 
mentionne dans la description. 

Toutefois, tout code de la machine virtuelle Java 
10 correct au sens du verificateur Java traditionnel peut 
etre transforme en un code equivalent susceptible de 
passer avec succes la verification de code effectuee sur 
la carte a microprocesseur. 

Alors qu'il est possible d'envisager 1 ' ecriture 
15 directe de codes Java satisfaisant aux criteres de 
verification precedemment mentionnes dans le cadre de la 
mise en oeuvre du protocole objet de la presente invention, 
un objet remarquable de celle-ci est egalement la mise en 
oeuvre d'un procede de transformation automat ique de tout 
20 code Java standard en un code normalise pour le m§me 
fragment de programme satisfaisant necessairement aux 
criteres de verification mis en oeuvre precedemment cites . 
Le procede de transformation en code normalise et le 
systeme correspondant seront decrits ulterieurement dans 
25 la description de maniere detaillee. 

Une description plus detaillee du proced^ de 
verification d'un fragment de programme, ou appliquette, 
conforme a l'objet de la presente invention, sera 
maintenant donnee en liaison avec la figure 3a et les 
30 figures suivantes . 
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D'une maniere generale, on indique que le procede 
de verification objet de la presente invention peut etre 
mis en ceuvre soit dans le cadre du protocole de gestion 
d'un fragment de programme objet de 1 ' invention 
5 precedemment decrit en liaison avec la figure 2, soit de 
maniere independante , afin d' assurer tout processus de 
verification juge necessaire. 

D'une maniere generale, on indique qu'un fragment 
de programme est constitue par un code objet comportant au 
10 moins un sous -programme , plus communement designe par 
methode, et constitue par une suite d' instructions 
executables par le microprocesseur du systeme embarque par 
1 1 intermediaire de la machine virtuelle . 

Ainsi que represents sur la figure 3a, le procede 
15 de verification consiste, pour chaque sous -programme, a 
effectuer une etape 200 d' initialisation de la pile des 
types et du tableau des types de registres de la machine 
virtuelle par des donnees representant 1 1 etat de cette 
machine virtuelle au debut de I 1 execution du code objet, 
20 objet de la verification. Ce code objet peut etre memorise 
temporairement ainsi que decrit precedemment en liaison 
avec la mise en oeuvre du protocole objet de la presente 
invention. 

L 1 etape 2 00 precitee est alors suivie d'une etape 
25 200a consistant a positionner la lecture de 1 1 instruction 
courante I±, index i, sur la premiere instruction du code 
objet. L. 1 Stape 200a est suivie d'une etape 201 consistant 
a effectuer une verification du code objet precite 
instruction par instruction, par discrimination pour 
30 chaque instruction courante notee I± 'de 1 '"existence d'une 
cible d ' instruction de branchement CIB, d'une cible d'un 
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appel de gestionnaire d 1 exceptions , note CEM, ou d'une 
cible d'un appel de sous -routine CSR. 

L'etape de verification 201 est suivie d'une etape 
de verification 202 et d 1 actualisation de l'effet de 

5 1 1 instruction courante Ii sur les types de donnees de la 
pile des types et du tableau des types de registres en 
fonction de 1' existence, pour 1 1 instruction courante visee 
par une autre instruction, d'une cible d 1 instruction de 
branchement CIB, d'une cible d'un appel de sous -routine 

10 CSR ou d'une cible d'un appel de gestionnaire d' exceptions 
CEM . 

L'etape 202 pour 1 ' instruction courante Ii est 
suivie d'une etape de test 2 03 d'atteinte de la derniere 
instruction, test not6 : 
15 Ii = derniere instruction du code objet ? 

Sur reponse negative au test 203, le processus passe a 
1 1 instruction suivante 204, not§ i = i+1, et au retour a 
l'etape 201. 

On indique que la verification precitee, a l'etape 
20 202, est reussie lorsque le tableau des types de registres 
n'est pas modifie au cours d'une verification de toutes 
les instructions Ii constitutives du code objet. Dans ce 
but, un test 205 d' existence d'un etat stable du tableau 
des types de registres et prevu. Ce test est note : 
25 3? Etat stable du tableau des types de registres. 

Sur reponse positive au test 205, la verification a 
reussi. 

Dans le cas ou au contraire aucune absence de 
modification est constatee, le processus de verification 
30 est reitere et relanc6 par retour a l'etape 200a. On 
demontre que la fin du processus est garantie apres au 
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plus NrxH iterations, ou Nr designe le nombre de registres 
utilises et H une constante dependant de la relation de 
sous-typage. 

Differentes indications relatives aux types de 
5 variables manipulees au cours du processus de verification 
decrit precedemment en liaison avec la figure 3a seront 
maintenant donnees en liaison avec la figure 3b. 

Lies types de variables precites comportent au 
moins des identif icateurs de classes correspondant aux 

10 classes d'objets definis dans le fragment de programme 
soumis a la verification, des types de variables 
numeriques comportant au moins un type short . entier code 
sur p bits, p pouvant prendre la valeur p = 16, et un type 
d'adresse de retour d'une instruction de saut JSR, ce type 

15 d'adresse etant note retaddr. un type null relatif a des 
references d'objets nuls, un type object relatif aux 
objets proprement dits, un type specif ique ± representant 
1 ■ intersection de tous les types et correspondant a la 
valeur zero nvl , un autre type specifique X representant 

20 1' union de tous les types et correspondant a tout type de 
valeurs. 

En reference a la figure 3b, on indique que 
1' ensemble des types de variables precites verifient une 
relation de sous-typage : 
25 Qbject € T ; 

short.retaddr e T ; 
J^e null t short , retaddr 

Un exemple plus specifique d'un processus de 
verification tel qu'illustre en figure 3a sera maintenant 
30 donne en liaison avec un premier exemple de structure de 
donnees illustre au tableau Tl joint en annexe. 
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L'exemple precite concerne une appliquette ecrite 
en code Java. 

Le processus de verification accede au code du 
sous -programme constitutif de 1 ' appliquette soumis a 

5 verification par 1 1 intermediaire d'un pointeur sur 
1 1 instruction Ii en cours de verification. 

Le processus de verification enregistre la taille 
et le type de la pile d' execution au niveau de 
1 1 instruction courante Ii correspondant a saload sur 

10 l f exemple du tableau Tl precite. 

Le processus de verification enregistre alors la 
taille et le type de la pile d 1 execution au niveau de 
1 1 instruction courante dans la pile des types par 
1 ■ intermediaire de son pointeur de pile des types. 

15 Ainsi que mentionne precedemment dans la 

description, cette pile de types ref lete 1 1 Stat de la pile 
d 1 execution de la machine virtuelle au niveau de 
1 1 instruction courante Ii. Dans I'exemple represents au 
tableau Tl, lors de 1 1 execution future de 1 1 instruction 

20 Ii, la pile contiendra trois entrees : une reference vers 
un objet de la classe C, une reference vers un tableau 
d'entiers codes sur p = 16 bits, le type short M , et un 
entier de p = 16 bits de type short . Ceci est egalement 
represents dans la pile des types qui contient egalement 

25 trois entrees : C, le type des objets de la classe C, 
short □ , le type des tableaux d'entiers p = 16 bits et 
short , le type des entiers p = 16 bits. 

Une autre structure de donnees remarquable est 
constitute par un tableau de types de registres, ce 

30 tableau refletant 1 1 etat des registres, c'est-a-dire des 
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registres memorisant les variables locales, de la machine 
virtuelle . 

En continuant l'exemple indique au tableau Tl, on 
indique que 1' entree 0 du tableau de types de registres 
5 contient le type C, c'est-a-dire que lors de 1 • execution 
future de 1 ' instruction courante Ii = saload, le registre 
0 est assure de contenir une reference vers un objet de la 
classe C. 

Les differents types manipules au cours de la 
10 verification et stockes dans le tableau de types de 
registres et dans la pile de types sont representee en 
figure 3b. Ces types comprennent : 

- des identificateurs de classe CB correspondant aux 
classes d' objets specif iques definis dans 

15 1 1 appliquette ; 

- des types de base, tels que snort entier code sur p = 
16 bits, intl et in£2, p bits les plus et les moins 
significatifs respectivement d'entiers codes sur 2p 
bits par exemple, ou xfitaddt ■ adresse de retour d'une 

20 instruction, ainsi que mentionne precSdemment ; 

- le type mill representant les references d' objets nuls. 

En ce qui concerne la relation de sous-typage, on 
indique qu'un type Tl est sous-type d'un type T2 si toute 
valeur valide du type Tl est egalement une valeur valide 

25 du type T2. Le sous-typage entre identif icateur de classes 
reflete la hierarchie d' heritage entre classes de 
1- appliquette. Sur les autres types, le sous-typage est 
defini par le treillis represents en figure 3b, J» etant 
sous -type de tous les types et tous les types etant sous- 

30 types de X- 
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Le deroulement du processus de verification d'un 
sous -programme const itutif d'une appliquette est le 
suivant, en reference au tableau Tl precedemment 
mentionne . 

Le processus de verification s'effectue 
independamment sur chaque sous -programme de 1 ' appliquette . 
Pour chaque sous -programme, le processus effectue une ou 
plusieurs passes de verification sur les instructions du 
sous -programme considere. Le pseudo-code du processus de 
verification est donne au tableau T2 joint en annexe. 

Le processus de verification d'un sous -programme 
debute par 1 1 initialisation de la pile des types et du 
tableau des types de registres representes au tableau Tl, 
cette initialisation refletant l'etat de la machine 
virtuelle au debut de 1' execution du sous -programme 
examine . 

La pile des types est initialement vide, le 
pointeur de pile est egal a zero, et les types de 
registres sont initialises avec les types des parametres 
du sous -programme illustrant le fait que la machine 
virtuelle passe les parametres de ce sous -programme dans 
ces registres. Les types de registres alloues par le sous- 
programme sont initialises aux types de donnees ± 
illustrant le fait que la machine virtuelle initialise ces 
registres a zero au debut de 1" execution du sous- 
programme . 

Ensuite, une ou plusieurs passes de verification 
sur les instructions et sur chaque instruction courante Ii 
du sous -programme sont effectuees. 

A la fin de la passe de verification mise en oeuvre 
ou d'une succession de passes par exemple, le processus de 
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verification determine si les types de registres contenus 
dans le tableau des types de registres representes au 
tableau Tl de 1 1 annexe ont change pendant la passe de 
verification. En 1 1 absence de changement ; la verification 
5 est terminee et un code de succes est renvoye au programme 
principal, lequel permet d 1 envoyer 1 ' accuse de reception 
positif a 1'etape 105 du protocole de gestion represents 
en figure 2. 

En presence d'une modification du tableau des 

10 types de registres precite, le processus de verification 
reitere la passe de verification jusqu'a ce que les types 
de registres contenus dans le tableau des types de 
registres soit stable. 

Le deroulement proprement dit d'une passe de 

15 verification effectuee une ou plusieurs fois jusqu'a la 
stabilite du tableau des types de registres sera 
maintenant decrit en liaison avec les figures 3c a 3j. 

Pour chaque instruction courante I i# les 
verifications suivantes sont effectuees : 

20 En liaison avec la figure 3a a 1'etape 201, le 

processus de verification determine si 1 1 instruction 
courante I± est la cible d ! une instruction de branchement, 
d'appel de sous-routine ou d'un gestionnaire d' exception, 
ainsi que mentionne precedemment , Cette verification 

25 s'effectue par examen des instructions de branchement 
contenues dans le code du sous -programme et des 
gestionnaires d' exceptions associes a ce sous -programme . 

En reference a la figure 3c ouverte par I'etape 
201, lorsque 1 1 instruction courante Ii est la cible d'une 

30 instruction de branchement, cette condition etant realisee 
par un test 300 design^ par Ii=CIB, ce branchement etant 
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inconditionnel ou conditionnel , le processus de 
verification s • assure que la pile des types est vide a ce 
point du sous -programme par un test 301. Sur reponse 
positive au test 301 , le processus de verification est 

5 poursuivi par une etape suite de context e note suite A. 
Sur reponse negative au test 301, la pile des types 
n'etant pas vide, la verification echoue et 1 1 appliquette 
est rejetee. Cet echec est representee par l 1 etape Echec. 

En reference a la figure 3d ouverte par 1 1 etape 

10 suite A, lorsgue 1 1 instruction courante I± est la cible 
d'un appel de sous -routine, cette condition etant realisee 
par un test 304 Ii=CSR, le processus de verification 
verifie en un test 305 que 1 1 instruction precedente Ii-i ne 
continue pas en sequence. Cette verification est realisee 

15 par une etape de test 305 lorsque 1 1 instruction precedente 
constitue un branchement inconditionnel, un retour de 
sous-routine ou une levee d'exception. Le test a 1 1 etape 
305 est note ainsi : 

Ii-i = IBinconditionnei , retour RSR ou levee L-EXCEPT. 

20 Sur reponse negative au test 3 05, le processus de 

verification echoue en une etape Echec. Au contraire, sur 
reponse positive au test 3 05, le processus de verification 
reinitialise la pile des types de fagon que celle-ci 
contienne exactement une entree de type retadflr , adresse 

25 de retour de la sous-routine precitee. Si 1 1 instruction 
courante 1± a 1 1 etape 3 04 n'est pas la cible d'un appel de 
sous-routine, le processus de verification est poursuivi 
dans le contexte a l 1 etape suite B. 

En reference a la figure 3e, lorsque 1 1 instruction 

30 courante I± est la cible d'un gestionnaire d 1 exceptions , 
cette condition etant realisee par un test 307 note Ii = 
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CEM, CEM designant la cible d'un gestionnaire 
d 1 exceptions , cette condition est realisee par 
1 1 intermediaire d'un test 3 07, note : 

Ii=CEM. 

5 Le processus, sur reponse positive au test 3 07 verifie que 
1 ' instruction precedente constitue un branchement 
inconditionnel , ' un retour de sous-routine ou une levee 
d'exeptions par 1 1 intermediaire d'un test 3 05 note : 
I i . 1 = IB i nconditionnei/ retour RSR ou levee L-EXCEPT. 

10 Sur reponse positive au test 305, le processus de 

verification procede a une reactualisation de la pile des 
types, a une etape 308, par une entree de types des 
exceptions, notee type EXCEPT, l f etape 308 etant suivie 
d'une etape de suite de contexte, suite C. Sur reponse 

15 negative au test 3 05, le processus de verification echoue 
par 1 1 itape notee Echec . Le fragment de programme est 
alors rejet£. 

En reference a la figure 3f, lorsque 1 1 instruction 
courante Ii est la cible d'une pluralite de branchements 

20 incompatibles, cette condition est realisee par un test 
309, lequel est note : 

Ii=XIB incompatibles 
les branchements incompatibles etant par exemple un 
branchement inconditionnel et un appel de sous -routine ou 

25 encore deux gestionnaires d 1 exceptions differents. Sur 
reponse positive au test 309, les branchements etant 
incompatibles, le processus de verification echoue par une 
etape notee Echec et le fragment de programme est rejete. 
Sur reponse negative au test 309, le processus de 

30 verification est poursuivi par une etape notee suite D. Le 



WO 01/14958 




PCT/FRU0/02349 



31 

test 309 est ouvert par 1 1 etape suite C precedemment 
mentionnee dans la description. 

En reference a la figure 3g, lorsque 1 ' instruction 
courante Ii n'est la cible d'aucun branchement , cette 
5 condition etant realisee par un test 310 ouvert par la 
suite D precedemment mentionnee, ce test etant note 

Ii 3? cibles de branchement, 
3 designant le symbole d 1 existence, 
le processus de verification continue sur reponse negative 
10 au test 310 par passage a une actualisation de la pile des 
types a une etape 311, 1 ! etape 311 et la reponse positive 
au test 310 etant suivies d'une etape de suite de contexte 
a l'etape 202, decrite precedemment dans la description en 
liaison avec la figure 3a* 
15 Une description plus detaillee de 1 1 etape de 

verification de l'effet de 1 1 instruction courante sur la 
pile des types a 1 1 etape 202 precedemment citee sera 
maintenant donnee en liaison avec la figure 3h. 

Selon la figure precitee, cette etape peut 
20 comporter au moins une etape 4 00 de verification que la 
pile d' execution des types contient au moins autant 
d ' entrees que 1 1 instruction courante comporte d 1 op€randes , 
Cette etape de test 400 est notee : 

Nbep > NOpi 

25 ou Nbep designe le npmbre d 1 entrees de la pile des types 
et NOpi designe le nombre d'operandes contenus dans 
1 1 instruction courante . 

Sur reponse positive au test 4 00, ce test est suivi d'une 
etape 4 01a de d€pilement de la pile des types et de 
30 verification 4 01b que les types des entrees au soiranet de 
la pile sont sous-types des types des operandes de 
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1 1 instruction courante precitee. A 1 ' etape de test 401a, 
les types des operandes de 1 • instruction i sont notes TOpi 
et les types des entrees au sommet de la pile sont notes 
Targs . 

5 A l 1 etape 401b, la verification correspond a une 

verification de la relation de sous-typage Targs sous-type 
de TOpi . 

Sur reponse negative au test 400 et au test 401b, 

le processus de verification echoue, ce qui est illustre 
10 par l'acces a l f etape Echec. Au contraire sur reponse 

positive au test 401b, le processus de verification est 

poursuivi et consiste a effectuer : 

- Une etape de verification de 1' existence d'un 

espace memoire suffisant sur la pile des types, pour 
15 proceder a 1 1 empilement des resultats de 1 1 instruction 

courante. Cette etape de verification est realisee par un 

test 402 note : 

Esp-pile > Esp-resultats 
ou chague membre de l'inegalite designe 1 1 espace memoire 

20 correspondant . 

Sur reponse negative au test 402, le processus de 
verification echoue, ce qui est illustre par l'ttape 
Echec. Au contraire, sur reponse positive au test 4 02, le 
processus de verification procede alors a l 1 empilement des 

25 types de donnees attributes aux resultats en une etape 
403, 1 'empilement etant effectue sur la pile des types de 
donnees attribute a ces resultats . 

A titre d'exemple non limitatif, on indique que 
pour la mise en oeuvre de la figure 3h de verification de 

30 l ! effet de 1 1 instruction courante sur la pile des types, 
pour une instruction courante constitute par une 
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instruction Java saload correspondant a la lecture d'un 
element entier code sur p = 16 bits dans un tableau 
d'entiers, ce tableau d'entiers etant defini par le 
tableau d'entiers et un indice entier dans ce tableau, et 
5 le resultat par l 1 entier lu a cet indice dans ce tableau, 
le processus de verification s 1 assure que la pile des 
types contient au moins deux elements, que les deux 
elements au sommet de la pile des types sont sous-types de 
short n respect ivement short . procede au processus de 

10 depilement et ensuite au processus d'empilement du type de 
donnees short comme type du resultat. 

En outre, en reference a la figure 3i, pour la 
mise en ceuvre de 1 ' etape de verification de l'effet de 
1 1 instruction courante sur la pile des types, lorsque 

15 1 1 instruction courante Ii est une instruction de lecture, 
not6e IR, d'un registre d'adresse n, cette condition etant 
realisee par un test 404 not£ Ii=IR n/ sur reponse positive 
au test 404 precite, le processus de verification consiste 
a verifier le type de donnees du resultat de cette 

20 lecture, en une etape 405, par consultation de 1 ' entree n 
du tableau des types de registres, puis a determiner 
l'effet de 1 1 instruction courante Ii sur la pile des types 
par une operation 4 06a de depilement des entrees de la 
pile correspondant aux operandes de cette instruction 

25 courante et par empilement 4 06b du type de donnees de ce 
resultat. Les operandes de 1 ■ instruction I± sont notes 
OPi. Les etapes 4 06a et 406b sont suivies d'un retour a la 
suite de contexte suite F. Sur reponse negative au test 
404, le processus de verification est poursuivi par la 

30 suite de contexte suite F. 
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En reference a la figure 3 j , lorsque 1 ' instruction 
courante Ii est une instruction d'ecriture, notee IW, d'un 
registre d'adresse n, cette condition etant realisee par 
un test note Ii=IW m/ le processus de verification 
5 consiste, sur reponse positive au test 4 07, a determiner 
en une etape 408 l'effet de 1 1 instruction courante sur la 
pile des types et le type t de 1 1 operande ecrit dans le 
registre d'adresse n, puis, en une etape 4 09, a remplacer 
1' entree du type du tableau des types de registres a 

10 l'adresse n par le type immediatement superieur au type 
precedemment stocke et au type t de l 1 operande ecrit dans 
le registre d'adresse n. L 1 etape 4 09 est suivie d'un 
retour a la suite de contexte suite 204. Sur reponse 
negative au test 407, le processus de verification est 

15 poursuivi par une suite de contexte suite 2 04. 

A titre d'exemple, lorsque 1 ' instruction courante 
Ii correspond a 1 1 ecriture d 1 une valeur de type D dans un 
registre d'adresse 1 et que le type du registre 1 avant 
verification de 1 'instruction £tait C, le type du registre 

20 1 est remplace par le type object qui est le type 
superieur le plus petit de C et D dans le treillis des 
types represents en figure 3b. 

De meme, a titre d'exemple, lorsque 1 ' instruction 
courante Ii est une lecture d'une instruction aload-0 

25 consistant a empiler le contenu du registre 0 et que 
1' entree 0 du tableau des types de registres est C, le 
verificateur empile C sur la pile des types. 

Un exemple de verification d'un sous -programme 
ecrit en environnement Java sera maintenant donne en 

30 liaison avec les tableaux T3 et T4 introduits en annexe. 
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Le tableau T3 represente un code JavaCard 
specif igue correspondant au sous -programme Java inclus 
dans ce tableau. 

Le tableau T4 illustre le contenu du tableau des 
5 types de registres et de la pile des types avant la 
verification de chaque instruction. Les contraintes de 
types sur les operandes des diverses instructions sont 
toutes respectees. La pile est vide aussi bien apres 
1 ' instruction de branchement 5 a 1 • instruction 9 

10 symbol isee par la fleche, qu 1 avant la cible de branchement 
9 precitee. Le type du registre 1 qui etait initialement 1 
devient null . la borne superieure de null et de 1, lorsque 
1 ' instruction 1 de stockage d'une valeur de type null dans 
le registre 1 est examinee, puis devient de type short M . 

15 la borne superieure du type short [] et du type null/ 
lorsque 1 1 instruction 8, stockage d'une valeur de type 
short n dans le registre 1 est traitee. Le type du 
registre 1 ayant change pendant la premiere passe de 
verification, une seconde passe est effectuee en repartant 

20 des types de registres obtenus a la fin de la premiere. 
Cette seconde passe de verification reussit tout comme la 
premiere et ne modifie pas les types des registres. Le 
processus de verification se termine done avec succes. 

Differents exemples de cas d'echec du processus de 

25 verification sur quatre exemples de code incorrect seront 
maintenant donnes en liaison avec le tableau T5 introduit 
en annexe : 

- Au point a) du tableau T5, le code donne en exemple a 
pour objet de tenter de fabriquer une reference d'objet 
30 invalide en utilisant un processus arithmetique sur des 

pointeurs. II est rejete par la verification des types 
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des arguments de 1 1 instruction 2 sadd, laguelle exige 
que ces deux arguments soient de type short , 

- Aux points b) et c) du tableau T5 , le code a pour objet 
de realiser deux tentatives de convertir un entier 

5 quelconque en une reference d f objet. Au point b) , le 

registre 0 est utilise a la fois avec le type short , 
instruction 0 , et avec le type null , instruction 5 . En 
consequence, le processus de verification attribue le 
type T au registre 0 et detecte une erreur de type 
10 lorsque le registre 0 est renvoye comme resultat de 

type object a 1 1 instruction 7 . 

- Au point c) du tableau T5, un ensemble de branchements 
du type "if ...then~.else..." est utilise pour laisser au 
sommet de la pile un resultat qui est constitue soit 

15 par un entier soit par une reference d 1 objet. Le 

processus de verification rejette ce code car il 
detecte que la pile n'est pas vide au niveau du 
branchement de 1 1 instruction 5 vers 1 1 instruction 9 
symbolisee par la fleche. 

20 - Enfin, au point d) du tableau T5 , le code contient une 
boucle qui, a chaque iteration, a pour effet d'empiler 
un entier de plus au sommet de la pile et de provoquer 
done un d§bordement de la pile apres un certain nombre 
d 1 iterations , Le processus de verification rejette ce 

25 code en constatant que la pile n'est pas vide au niveau 

du branchement arriere de 1 'instruction 8 vers 
1 ' instruction 0, symbolise par la fleche de retour, la 
pile n'etant pas vide a un point de branchement. 

Les differents exemples donnes precedemment en 

30 liaison avec les tableaux T3 , T4 et T5 montrent que le 
processus de verification, objet de la presente invention, 
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est particulierement efficace et gu ! il s 1 applique a des 
appliquettes et en particulier aux sous -programmes de ces 
dernieres, pour lesquelles les conditions de type de pile 
respectivement de caractere vide de la pile des types 
anterieurement et aux instructions de branchement ou de 
cibles de branchement sont satisfaites. 

Bien entendu, un tel processus de verification 
impligue 1 1 ecriture de codes objet satisfaisant a ces 
cri teres, ces codes objet pouvant correspondre au sous- 
programme introduit au tableau T3 precedemment mentionne. 

Toutefois, et afin d' assurer la verification 
d' appliquettes et de sous -programmes d ' appliquettes 
existantes qui ne satisfont pas necessairement aux 
criteres de verification du procede objet de la presente 
invention, en particulier pour ce qui concerne les 
appliquettes et les sous -programmes Merits en 
environnement Java, la presente invention a pour objet 
d'etablir des procedes de transformation de ces 
appliquettes ou sous -programmes en appliquettes ou 
fragments de programme normalises permettant de subir avec 
succes les tests de verification du proc€de de 
verification objet de la presente invention et du 
protocole de gestion mettant en oeuvre un tel proced^. 

Dans ce but, 1' invention a done pour objet la mise 
en oeuvre d'un procede et d'un programme de transformation 
d'un code objet classique constituant une appliquette, ce 
procede et ce programme de transformation pouvant etre mis 
en oeuvre hors d'un systeme embarque ou d'une carte a 
microprocesseur lors de la creation de 1 1 appliquette 
consideree . 
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Le procede de transformation de code en code 
normalise objet de la presente invention, sera maintenant 
decrit dans le cadre de 1 1 environnement Java a titre 
d 1 exemple purement illustratif. 
5 Les codes JVM produits par les compilateurs Java 

existants satisfont a differents criteres, lesguels sont 
enonces ci-apres : 

CI : les arguments de chaque instruction appartiennent 
bien aux types attendus par cette instruction ; 
10 C2 : la pile ne deborde pas ; 

C'3 : pour chaque instruction de branchement, le type de 
la pile au niveau de ce branchement est le meme 
qu'au niveau des cibles possibles pour ce 
branchement ; 

15 C'4 : une valeur de type t ecrite dans un registre en un 
point du code et relue depuis ce meme registre en un 
autre point du code est tou jours relue avec le meme 
type t ; 

La mise en oeuvre du procede de verification objet 
20 de la presente invention, implique que les criteres C'3 et 
C'4 verifies par le code objet soumis a verification 
soient remplaces par les criteres C3 et C4 ci-apres : 
C3 : la pile est vide a chaque instruction de branchement 
et a chaque cible de branchement ; 
25 C4 : un meme registre est utilise avec un seul et meme 
type dans tout le code d'un sous -programme . 

En reference aux criteres precites, on indique que 
les compilateurs Java garantissent seulement les criteres 
plus faibles C ! 3 et C f 4, le processus de verification 
30 objet de la presente invention et le protocole de gestion 
correspondant garantissent en fait des criteres C3 et C4 
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10 



15 



plus contraignants permettant d 1 assurer la securite 
d 1 execution et de gestion des appliquettes . 

La notion de normalisation recouvrant la 
transformation des codes en codes normalises peut 
presenter differents aspects, dans la mesure ou le 
remplacement des criteres C3 et CM par les criteres C3 
et C4, conf ormement au processus de verification objet de 
la presente invention, peut etre realise de maniere 
independante pour assurer que la pile est vide a chaque 
instruction de branchement et a chaque cible de 
branchement, respectivement que les registres ouverts par 
1 1 appliquette sont types, a chaque registre ouvert 
correspondant un seul type de donnee attribu6 pour 
1' execution de 1 1 appliquette consideree, ou, au contraire, 
de maniere conjointe, afin de satisfaire a 1' ensemble du 
processus de verification objet de la presente invention. 

Le procede de transformation d'un code objet en 
code objet normalise selon I 1 invention sera en consequence 
decrit selon deux modes de mise en ceuvre distincts, un 
premier mode de mise en ceuvre correspondant a la 
transformation d'un code objet satisfaisant aux criteres 
CI, C2, C3, C ! 4 en un code objet normalise satisfaisant 
aux criteres CI, C2, C3 , C 1 4 correspondant a un code 
normalise a instruction de branchement ou cible de 
branchement vide, puis, selon un deuxieme mode de 
realisation, dans lequel le code objet classique 
satisfaisant aux memes criteres de depart, est transforme 
en un code objet normalise satisfaisant aux criteres CI, 
C2, C ! 3, C4 par exemple correspondant a un code normalise 
30 faisant appel a des registres types. 
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Le premier mode de realisation du procede de 
transformation de code, objet de la presente invention, 
sera maintenant d^crit en liaison avec la figure 4a. Dans 
le mode de realisation illustre en figure 4a, le code 
5 classique de depart est repute satisfaire aux criteres 
Cl + C2+C ! 3 et le code normalise obtenu du fait de la 
transformation est repute satisfaire aux criteres 
C1+C2+C3 . 

Selon la figure precitee, le procede de 

10 transformation consiste, pour chague instruction courante 
Ii du code ou du sous -programme # a annoter chaque 
instruction, en une etape 500, par le type de donnees de 
la pile avant et apres 1 ' execution de cette instruction. 
Les donnees d 1 annotation sont notees Ali et sont associees 

15 par la relation Ii<-*AIi en instruction courante consideree. 
Les donnees d* annotation sont calculees au moyen d'une 
analyse du flot des donnees relatif a cette instruction. 
Les types de donnees avant et apres execution de 
1 1 instruction sont notes tbei et taei respect ivement . Le 

20 calcul des donnees d' annotation par analyse du flot des 
donnees est un calcul classique connu de 1 1 homme du metier 
et, a ce titre, ne sera pas decrit en detail. 

L 1 operation realisee a 1 1 etape 500 est illustree 
au tableau T6 introduit en annexe dans lequel, pour une 

25 appliquette ou sous -programme d 1 appliquette comportant 12 
instructions, les donnees d 1 annotation Ali constitutes par 
les types des registres et les types de la pile sont 
introduites . 

L 1 etape 5 00 precitee est alors suivie d'une etape 
30 500a consistant a positionner 1 1 index i sur la premiere 
instruction I±=Ii . L ! etape 500a est suivie d'une etape 501 
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consistant a detecter, au sein des instructions et de 
chaque instruction courante - Ii, 1 1 existence de 
branchements notes IB ou de cibles de branchement CIB pour 
lesquels la pile d' execution n'est pas vide. Cette 
detection 501 est realisee par un test conduit a partir 
des donnees d' annotation AI* du type des variables de pile 
alloue a chaque instruction courante, le test etant note 
pour 1 1 instruction courante : 

Ii est une IB ou CIB et pile(AI)^ vide. 
Sur reponse positive au test 501, c'est-a-dire en 
presence d'une detection d'une pile d' execution non vide, 
le test precite est suivi d'une etape consistant a inserer 
des instructions de transfert des variables de pile de 
part et d* autre de ces branchements IB ou de ces cibles de 
branchement CIB, afin de vider le contenu de la pile 
d' execution dans des registres temporaires avant ce 
branchement et de retablir la pile d' execution a partir 
des registres temporaires apres ce branchement. L'6tape 
d' insertion est notee 502 sur la figure 4a. Elle est 
suivie d'une 6tape de test 503 d'atteinte de la derniere 
instruction not§ 

Ii=derniere instruction? 
Sur reponse negative au test 503, une incrementation 504 
i=i+l est effectuee pour passage a 1 1 instruction suivante 
et retour a l'Stape 501. Sur reponse positive au test 503 , 
une etape de Fin est lancee. Sur reponse negative au test 
501 , le procede de transformation est poursuivi par un 
branchement vers 1 1 etape 503 en 1 1 absence d 1 insertion 
d • instruction de transfert. La mise en aeuvre du procede de 
transformation d ! un code classique en un code normalise a 
instruction de branchement a pile vide tel que represents 
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en figure 4a, permet d'obtenir un code objet normalise 
pour le mime fragment de programme de depart dans lequel 
la pile des variables de pile est vide a chague 
instruction de branchement et a chague instruction de 
'5 cible de branchement, en 1' absence de modification de 
l 1 execution du fragment de programme. Dans le cas d*un 
environnement Java, les instructions de transfert de 
donnees entre pile et registre sont les instructions load 
et store de la machine virtuelle Java. 

10 En reprenant l'exemple introduit au tableau T6, le 

procede de transformation detecte une cible de branchement 
ou la pile n'est pas vide au niveau de 1 1 instruction 9. II 
est done procedS a 1 1 insertion d'une instruction istore l 
avant 1 1 instruction de branchement 5 qui mene £ 

15 1 1 instruction 9 precitee afin de sauvegarder le contenu de 
la pile dans le registre 1 et d* assurer que la pile est 
vide lors du branchement. Symetriquement , 1 1 insertion 
d'une instruction iload 1 est effectuee prealablement a la 
cible d' instruction 9 pour retablir le contenu de la pile 

20 identiquement a ce qu'il etait avant le branchement. 
Finalement, une instruction istore 1 est inseree apres 
1 ' instruction 8 pour garantir l'equilibre de la pile sur 
les deux chemins qui menent £ 1 1 instruction 9. Le resultat 
de la transformation ainsi operee en un code normalise est 

25 represents au tableau T7 . 

Le deuxieme mode de realisation du proced§ de 
transformation objet de la presente invention sera 
maintenant decrit en liaison avec la figure 4b dans le cas 
ou le code objet classique de depart satisfait aux 

30 criteres Cl+C'4 et le code objet normalise satisfait aux 
criteres C1+C4 . 
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En reference a la figure 4b precitee, on indique 
que le precede, dans ce mode de realisation, consiste a 
annoter, selon une etape 500 sensiblement identigue a 
celle representee en figure 4a, chaque instruction 
courante Ii par le type de donnees des registres avant et 
apres 1' execution de cette instruction. De la meme 
maniere, les donnees d ■ annotations AI 4 sont calculees au 
moyen d'une analyse du flot des donnees relatif a cette 
instruction. 

L 1 etape d' annotation 500 est alors suivie d'une 
etape consistant a effectuer une reallocation des 
registres, etape notee 601, par detection des registres 
d'origine employes avec des types differents, division de 
ces registres d'origine en registres normalises distincts, 
un registre normalise etant alloue a chaque type de 
donnees utilise. L'etape 601 est suivie d'une etape 602 de 
reactualisation des instructions qui manipulent les 
operandes qui font appel aux registres normalises 
precites. L'etape 602 est suivie d'une etape de suite de 

20 context e 3 02. 

En reference a l'exemple donne au tableau T6, on 
indique que le precede de transformation detecte que le 
registre de rang 0, note rO, est utilise avec les deux 
types sbjsct, instructions 0 et 1, et int. instruction 9 
et suivantes. II est alors precede a une division du 
registre d'origine rO en deux registres, le registre 0 
pour 1 'utilisation des types object et le registre 1 pour 
les utilisations de type int. Les references au registre 0 
de type int sont alors reecrites en les transf ormant en 
des references au registre 1, le code normalise obtenu 
etant introduit au tableau T8 joint en annexe. 
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On note de maniere non limitative que dans 
1 1 exemple introduit en liaison avec_ le tableau T8 precite, 
le nouveau registre 1 est utilise a la fois pour la 
normalisation de la pile et pour la creation de registres 
5 types par division du registre 0 en deux registres . 

Le procede de transformation d'un code classique 
en un code normalise a instruction de branchement a pile 
vide tel que decrit en figure 4a sera maintenant decrit de 
maniere plus detaill^e dans un mode de realisation 
10 preferentiel non limitatif, en relation avec la figure 5a. 

Ce mode de realisation concerne l 1 etape 501 
consistant a detecter au sein des instructions et de 
chaque instruction courante Ii l 1 existence de branchement 
IB respectivement de cible de branchement CIB pour 
15 laquelle la pile n'est pas vide. 

Suite a la determination des instructions cible ou 
la pile n'est pas vide, cette condition 6tant notee a 
1 1 etape 504a, Ii pile^vide, le processus de transformation 
consiste a associer, a 1' etape 504a precitee, a ces 
20 instructions un ensemble de nouveaux registres, un par 
emplacement de pile actif au niveau de ces instructions. 
Ainsi, si i designe le rang d'une cible de branchement 
dont le type de pile associee n'est pas vide et est du 
type tpli a tpn± avec n > 0, pile non vide, le processus 
25 de transformation alloue n nouveau registres, ri a r n non 
encore utilises et les associe a 1 1 instruction i 
correspondante. Cette operation est realisee a 1 1 etape 
504a. 

L' etape 5 04a est suivie d'une 6 tape 504 consistant 
30 a examiner chaque instruction detectee de rang i et a 
discriminer en une etape de test 504 1" existence d'une 
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cible de branchement CIB ou d'un branchement IB. L'etape 
504 est representee sous forme d'un test designe par : 

3?CIB,IB et Ii=CIB. 

Dans le cas ou 1 • instruction de rang i est une 
5 cible de branchement CIB representee par l'egalite 
precedente, et que la pile des variables de pile au niveau 
de cette instruction n'est pas vide, c'est-a-dire en 
reponse positive au test 504, pour toute instruction 
precedente de rang i-1 constitute par un branchement, une 
10 levee d' exceptions ou un retour de programme, cette 
condition est realisee a l'etape de test 505 designee 
par : 

li.j = IB, lev€e EXCEPT, retour Prog. 
L ' instruction detectee de rang i n'est accessible que par 

15 un branchement. Sur reponse positive au test 505 precite, 
le processus de transformation consiste a effectuer une 
6tape 506 consistant a inserer un ensemble d' instructions 
de chargement du type lead a partir de 1- ensemble de 
nouveaux registres anterieurement a 1 ' instruction detectee 

20 de rang i considere . L" operation d' insertion 506 est 
suivie d'une redirection 507 de tous les branchements vers 
1 • instruction detectee de rang i, vers la premiere 
instruction de chargement load inseree. Les operations 
d» insertion et de redirection sont representees au tableau 

25 T9 joint en annexe. 

Pour toute instruction precedente de rang i-1 
continuant en sequence, c'est-a-dire lorsque 1 ' instruction 
courante de rang i est accessible a la fois par un 
branchement et a partir de 1 • instruction precedente, cette 

30 condition etant realisee par le test 508 et symbolisee par 
les relations : 
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et 

IB^Ii 



le processus de transformation consiste en une etape 509 a 
inserer un ensemble d ' instructions de sauvegarde store 
vers 1' ensemble de nouveaux registres anterieurement a 
1 • instruction detectee de rang i, et un ensemble 
d- instructions de chargement lead, a partir de cet ensemble 
de nouveaux registres. L ' etape 509 est alors suivie d'une 
etape 510 de redirection de tous les branchement s vers 
1- instruction detectee de rang i vers la premiere 
instruction de chargement load inseree. 

Dans le cas ou 1 ' instruction detectee de rang i 
est un branchement vers une instruction determinee, pour 
toute instruction detectee de rang i constitute par un 
branchement inconditionnel , cette condition etant realisee 
par un test 511 note : 

^i = I Bincondi t . 

le processus de transformation tel que represents en 
figure 5a consiste a inserer a une etape 512, sur reponse 
positive au test 511, anterieurement a 1' instruction 
detectee de rang i, une plurality d • instructions de 
sauvegarde store - Le processus de transformation insere 
avant 1 ' instruction i les n instructions store ainsi que 
represents en exemple au tableau Til. Les instructions 
lULQre. adressent les registres n a r n , n designant le 
nombre de registres. A chaque nouveau registre est ainsi 
associee 1 ■ instruction de sauvegarde. 

Pour toute instruction detectee de rang i 
constitute par un branchement conditionnel et pour un 
nombre mOp superieur a 0 d'operandes manipules par cette 



WO 01/14958 



• 



PCT/FROO/02349 



47 

instruction de branchement conditionnel , cette condition 
etant realisee par le test 513 note : 

1 i = lBcondit . 

avec mOp > 0 

le processus de transformation, en reponse positive au 
test 513 precite, consiste a inserer a une etape 514 
anterieurement a cette instruction detectee de rang i, une 
instruction de permutation notee swap_x au sommet de la 
pile des variables de pile des mOp operandes de 
1 1 instruction detectee de rang i et des n valeurs 
suivantes. Cette operation de permutation permet de 
ramener au sommet de la pile des variables de pile les n 
valeurs a sauvegarder dans 1 1 ensemble des nouveaux 
registres r x a r n . L 1 etape 514 est suivie d'une €tape 515 
consistant a inserer anterieurement a 1 1 instruction de 
rang i un ensemble d 1 instructions de sauvegarde Store vers 
l 1 ensemble des nouveaux registres r x a r n . L 1 €tape 515 
d 1 insertion precit^e est elle-meme suivie d'une etape 516 
d 1 insertion posterieurement a 1 ' instruction detectee de 
rang i d'un ensemble d 1 instructions de chargement Laad a 
partir de 1' ensemble des nouveaux registres ri a r n . 
L' ensemble des operations d' insertion correspondantes est 
represent^ au tableau 12 introduit en annexe. 

Pour des raisons de completude et en reference a 
la figure 5a, on indique que, sur reponse negative au test 
504, la poursuite du processus de transformation est 
realisee par une etape de suite de contexte suite 503, que 
la reponse negative aux tests, 505 , 508, 511 et 513 est 
elle-meme suivie d'une poursuite du processus de 
transformation par 1 1 intermediate d'une etape de suite de 
contexte suite 503 et qu'il en est de meme en ce qui 
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concerne la poursuite des operations apres les etapes de 
redirection 507 et 510 et d 1 insertion 512 et 516 
precit^es . 

Une description plus detail lee du procede de 

5 normalisation et de transformation d'un code objet en un 
code objet normalise faisant appel a des registres types 
tel que decrit en figure 4b, sera maintenant donnee en 
liaison avec la figure 5b. Ce mode de realisation concerne 
plus particulierement un mode de realisation pr^ferentiel 

10 non limitatif de 1 1 etape 601 de reallocation des registres 
par detection des registres d'origine employes avec des 
types differents. 

En reference a la figure 5b precitee, on indique 
que 1 1 etape 601 precitee consiste a determiner en une 

15 etape 603 les intervalles de duree de vie notes IDj de 
chaque registre r j . Ces intervalles de duree de vie, 
designes par "live range" ou "webs" en langage anglo- 
saxon, sont definis pour un registre r comme un ensemble 
maximal de traces partielles tel que le registre r est 

20 vivant en tous points de ces traces. Pour une definition 
plus detaillee de ces notions, on pourra utilement se 
reporter a l'ouvrage edite par Steven S. MUCHNICK intitule 
"Advanced Compiler Design and Implementation" , Section 
16.3, Morgan KAUFMANN, 1997. L'^tape 603 est designee par 

25 la relation : 

IDj*->rj 

selon laquelle a chaque registre rj est associe un 
intervalle de duree de vie IDj correspondant . 

L 1 etape 603 precitee est suivie d'une etape 604 
30 consistant a determiner, a 1 1 etape 604, le type de donnees 
principal, note tpj, de chaque intervalle de dur6e de vie 
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IDj . Le type principal d'un intervalle de duree de vie 
IDj, pour un regis tre r j# est defini par la borne 
superieure des types de donnee stockes dans ce registre rj 
par les instruction de sauvegarde store appartenant a 

5 l 1 intervalle de dur£e de vie precite. 

L'etape 604 est elle-meme suivie d'une etape 605 
consistant a etablir un graphe d 1 interferences entre les 
intervalles de duree de vie precedemment definis aux 
etapes 603 et 604, ce graphe d 1 interferences consistant en 

10 un graphe non oriente dont chague sommet est constitue par 
un intervalle de duree de vie et dont les arcs, notes 
aji,j 2 sur la figure 5b, entre deux sommet s ID jx et ID J2 , 
existent si un sommet contient une instruction de 
sauvegarde adressee au registre de 1' autre sommet ou 

15 reciproquement . Sur la figure 5b, la construction du 
graphe d ' interferences est representee symbol iquement, 
cette construction pouvant etre realisee a partir de 
techniques de calcul connues de l'homme du metier. Pour 
une description plus detaillee de la construction de ce 

20 type de graphe, on pourra utilement se reporter a 
l'ouvrage publie par Alfred V.AHO, Ravi SETHI et Jeffrey 
D. ULLMAN intitule "Compilers : principles, techniques, 
and tools", Addison-Wesley 1986, section 9.7. 

Suite a l'etape 605, le procede de normalisation 

25 tel que represent^ en figure 5b consiste a traduire a une 
etape 606 l'unicitg d'un type de donnee alloue a chaque 
registre rj dans le graphe d' interferences en ajoutant des 
arcs entre toutes paires de sommets du graphe 
d 1 interferences tant que deux sommets d ! une paire de 

30 sommets n'ont pas le meme type de donnees principal 
associe. On comprend que la traduction du caractere 
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d'unicite d'un type de donnee alloue a chague registre 
correspond bien entendu a la traduction et a la prise en 
compte du critere C4 dans le graphe d 1 interferences, 
critere mentionne precedemment dans la description. 
5 L'etape 606 precitee est alors suivie d'une etape 607 dans 
laguelle une instanciation du graphe d 1 interferences est 
effectuee, instanciation plus communement designee par 
etape de coloriage du graphe d 1 interferences selon les 
techniques habituelles . Au cours de l'etape 607 , le 
10 processus de transformation attribue a chaque intervalle 
de duree de vie ID jk un numero de registre rk de telle 
maniere que deux intervalles adjacents dans le graphe 
d' interferences regoivent des numeros de registres 
dif f erents . 

15 Cette operation peut etre realisee a partir de 

tout processus adapte. A titre d'exemple non limitatif, on 
indique gu'un processus pr^ferentiel peut consister : 

a) a choisir un sommet de degre minimal dans le graphe 
d 1 interferences, le degre minimal etant defini comme 

20 un nombre de sommets adjacents minimal, et de le 

retirer du graphe, Cette etape peut etre rep^tee 
jusqu'a ce que le graphe soit vide. 

b) Chaque sommet precedemment retire est reintroduit dans 
le graphe d 1 interferences dans 1 1 ordre inverse de leur 

25 retrait, le dernier enleve etant le premier 

reintroduit et successivement dans 1 1 ordre inverse de 
1' ordre de retrait. Ainsi, a chaque sommet 
reintroduit, peut etre attribue le plus petit numero 
de registre qui est different des numlros attribues a 

30 tous les sommets adjacents. 
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Enfin, par 1 ' etape 602, representee en figure 4b, le 
processus de transformation et de reallocation reecrit les 
instructions d' acces aux registres figurant dans le code 
du sous -programme de 1 ' appliguette consideree. Un acces a 

5 un registre donne dans l'intervalle de duree de vie 
correspondant est remplace par un acces a un registre 
different dont le numero a ete attribue pendant la phase 
d' instanciation encore designee par phase de coloriage. 

Une description plus detaillee d'un systeme 

10 informatique embarque permettant la mise en ceuvre du 
protocole de gestion et du processus de verification d'un 
fragment de programme ou appliquette conforme a l'objet de 
la presente invention et d'un systeme de developpement 
d'une appliquette sera maintenant donnee en liaison avec 

15 la figure 6. 

En ce qui concerne le systeme embarque 
correspondant portant la reference 10, on rappelle que ce 
systeme embarque est un systeme du type reprogrammable 
comportant les elements essentiels tels que represent6s en 

20 figure lb. Le systeme embarque precite est repute 
interconnect^ a un terminal par une liaison serie, le 
terminal etant lui-meme relie par exemple par 
1 ' intermediaire d'un reseau local, le cas 6cheant d'un 
reseau lointain, a un ordinateur de developpement de 

25 1' appliquette portant la reference 20. Sur le systeme 
embarque 10 fonctionne un programme principal qui lit et 
execute les commandes envoyees sur la liaison serie par le 
terminal. En outre, les commandes standard pour une carte 
a microprocesseur, telles que par exemple les commandes 

30 standard du protocole ISO 7816, peuvent etre mises en 
ceuvre, le programme principal reconnaissant de plus deux 
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commandes supplementaires, l'une pour le telechargement 
d'une appliquette, et 1 1 autre pour la selection d'une 
appliguette prealablement chargee sur la carte a 
microprocesseur . 
5 Conf ormement a l'objet de la presente invention, 

la structure du programme principal est r^alisee de 
man i ere a comporter au moins un module de programme de 
gestion et de verification d'un fragment de programme 
telecharge suivant le protocole de gestion d'un fragment 

10 de programme telecharge precedernment decrit dans la 
description en liaison avec la figure 2. 

En outre, le module de programme comporte 
egalement un module de sous -programme de verification d'un 
fragment de programme telecharge suivant le procede de 

15 verification tel que decrit precedernment dans la 
description en liaison avec les figures 3a a 3 j . 

Dans ce but, la structure des memoires, en 
particulier de la memoire permanente non inscriptible , 
memoire ROM, est modifi^e de maniere a comporter 

20 notamment, outre le programme principal, un module 17 de 
gestion de protocole et de verification, ainsi que 
mentionn6 precedernment. Enfin, en ce qui concerne la 
memoire non volatile reinscriptible de type EEPROM, celle- 
ci comporte avantageusement un repertoire d 1 appliquettes , 

25 not€ 18, permettant la mise en oeuvre du protocole de 
gestion et du processus de verification objets de la 
presente invention . 

En reference a la meme figure 6, on indique que le 
systeme de developpement de 1 1 appliquette conforme a 

30 l'objet de la presente invention, permettant en fait la 
transformation d'un code objet classique ainsi que 
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mentionne precedemment dans la description et satisfaisant 
aux criteres C1+C2+C 1 3+C 1 4 dans le cadre de 
1 1 environnement Java en un code objet normalise pour le 
meme fragment de programme comprend, associe a un 

5 compilateur classique Java 21, un module de transformation 
de code, note 22, lequel procede a la transformation de 
code en code normalise selon le premier et le deuxieme 
mode de realisation precedemment decrits dans la 
description en liaison avec les figures 4a, 4b et 5a, 5b. 

10 On comprend en effet que, d'une part, la normalisation du 
code objet d'origine en un code objet normalise a 
instruction de branchement a pile vide et en un code 
normalise faisant appel a des registres types, d' autre 
part, ainsi que mentionn6 precedemment dans la 

15 description, permet de satisfaire aux criteres de 
verification C3 et C4 imposes par le procede de 
verification objet de la present e invention. 

Le module de transformation de code 22 est suivi 
d'un convertisseur JavaCard 23, lequel permet d' assurer la 

20 transmission par un reseau distant ou local vers le 
terminal et, par 1 1 intermediaire de la liaison serie, vers 
la carte a microprocesseur 10. Ainsi, le systeme de 
developpement de 1 1 appliquette 20 represents en figure 6 
permet de transformer les fichiers de classe compiles 

25 produits par le compilateur Java 21 a partir des codes 
source Java de 1 1 appliquette en des fichiers de classe 
Equivalents mais qui respectent les contraintes 
supplemental res C3, C4 imposees par le protocole de 
gestion et le module de verification 17 embarques sur la 

30 carte a microprocesseur 10. Ces fichiers de classe 
transform^ sont convertis en line appliquette 
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telechargeable sur la carte par le convert isseur JavaCard 
standard 23 . 

Differents elements particulierement remarguables 
de 1* ensemble des elements du protocole, des procedes et 
5 des systemes objets de la presente invention, seront 
maintenant donnes a titre indicatif . 

Vis-a-vis des processus de verification de 1 1 art 
anterieur tels que mentionnes dans 1 1 introduction a la 
description, le procede de verification objet de la 

10 presente invention apparait remarquable en ce qu'il 
concentre !• effort de verification sur les propri£tes de 
typage des operandes qui sont essentielles a la securite 
de 1' execution de chaque appliquette, c'est-a-dire du 
respect des contraintes de type associees a chaque 

15 instruction et absence de debordement de pile. D'autres 
verifications n'apparaissent pas essentielles en termes de 
securite, en particulier la verification que le code 
initialise correctement chaque registre avant de le lire 
pour la premiere fois. Le procede de verification objet de 

20 la presente invention opere au contraire par 
initialisation a zero de tous les registres a partir de la 
machine virtuelle lors de 1 1 initialisation de la m^thode 
afin de garantir que la lecture d'un registre non 
initialise ne peut compromettre la security de la carte. 

25 En outre, 1 1 exigence imposee par le procede de 

verification objet de la presente invention selon laquelle 
la pile doit etre vide a chaque instruction de branchement 
ou de cible de branchement, garantit que la pile est dans 
le meme etat, vide, apres execution du branchement et 

30 avant execution de 1 1 instruction a laquelle le programme 
s'est branche. Ce mode operatoire garantit que la pile est 
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dans un etat coherent, quel que soit le chemin d' execution 
suivi a travers le code du sous -programme ou de 
1 1 appliquette considere. La coherence de la pile est ainsi 
garantie, meme en presence de branchement ou de cible de 
5 branchement . Contrairement aux procedes et aux systemes de 
l'art anterieur, dans lesquels il est necessaire de 
conserver en memoire vive le type de la pile a chague 
cible de branchement, ce qui necessite une quantite de 
memoire vive proportionnelle a TpxNb, produit de la taille 
10 maximale de pile d 1 execution utilisee et du nombre de 
cibles de branchement dans le code, le procede de 
verification, objet de la presente invention, n'a besoin 
que du type de la pile d' execution lors de 1 1 instruction 
en cours de verification et il ne conserve pas en memoire 
15 le type de cette pile a d'autres points du code. En 
consequence, le procede objet de 1 1 invention se contente 
d'une quantite de memoire vive proportionnelle a Tp mais 
independante de Nb, et par consequent de la longueur du 
code du sous -programme ou de 1 1 appliquette . 
20 L 1 exigence selon le critere C4 , selon lequel un 

registre donn6 doit etre utilise avec un seul et meme type 
dans tout le code d'un sous -programme, garantit que le 
code precite n 1 utilise pas un registre de maniere 
incoherente, par exemple en y Scrivant un entier short a 
25 un point du programme et en le relisant comme une 
reference d 1 objet a un autre point du programme. 

Dans les processus de verification decrits dans 
l'art anterieur, en particulier dans la specification Java 
intitulee "The Java Virtual Machine Specification" editee 
30 par Tim LINDHOLM et Frank YELL IN , deja citee, pour 
garantir la coherence des utilisations precitees a travers 
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les instructions de branchement, il est necessaire de 
conserver en memoire vive une copie du tableau des types 
de registres a chaque cible de branchement . Cette 
operation necessite une quantite de memoire vive 
5 proportionnelle a T r xN b ou T r designe le nombre de 
registres utilises par le sous -programme et N b le nombre 
de cibles de branchement dans le code de ce sous- 
programme . 

Au contraire, le processus de verification objet 
10 de la presente invention, opere sur un tableau global de 
types de registres en 1 * absence de conservation en memoire 
vive de copie a differents points du code. En consequence, 
la memoire vive necessaire pour realiser le processus de 
verification est proportionnelle a T r mais independante de 
15 N b et done de la longueur du code du sous -programme 
consid^re . 

La contrainte selon laquelle un registre donne est 
utilise avec le meme type en tous points, e'est-a-dire en 
toute instruction du code considere, simplifie 

20 sensiblement et de maniere significative la verification 
des sous -programmes . Au contraire, dans les processus de 
verification de 1'art anterieur, en 1 1 absence d'une telle 
contrainte, le processus de verification doit etablir que 
les sous -programmes respectent une discipline de pile 

25 stricte et doit verifier le corps des sous -programmes de 
maniere polymorphe en ce qui concerne le type de certains 
registres . 

En conclusion, le processus de verification objet 
de la presente invention vis-a-vis des techniques de 1 1 art 
30 anterieur permet, d'une part, de r^duire la taille du code 
du programme permettant de conduire le procede de 
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verification, et, d' autre part, de reduire la consommation 
de memoire vive lors des operations de verification, le 
degre de complexity etant de la forme 0(T p +P r ) dans le cas 
du processus de verification objet de la presente 
5 invention, au lieu de (O (T p +T r ) xN b ) pour ce qui concerne 
les processus de verification de 1 ' art anterieur, en 
offrant toutefois les memes garanties vis-a-vis de la 
surete de 1' execution du code verifie. 

Enfin, le processus de transformation d'un code 
10 classigue d 1 origine en un code normalise est realise par 
transformation localisee du code en 1 ' absence de 
transmission d 1 informations supplementaires a 1 1 organe 
verif icateur, c'est-a-dire a la carte a microprocesseur ou 
au systeme informatique embarque. 
15 En ce qui concerne le procede de reallocation des 

registres tel que decrit en figures 4b et 5b, ce procede 
se distingue des procedes connus de 1 1 art anterieur 
decrits notamment par le brevet US 4,571,678 et par le 
brevet US 5,249,295, par le fait : 
20 - que la reallocation de registre assure qu'un meme 
registre ne peut etre attribue a deux intervalles 
possedant des types principaux differents, ce qui 
garantit ainsi qu'un registre donne est utilise avec le 
meme type dans tout le code ; et 
25 - que les algorithmes d 1 allocations de registres 
existants et decrits dans les documents precites 
supposent un nombre fixe de registres et tentent de 
minimiser les transferts design^s par "spills" en 
langage anglo-saxon, entre registres et pile, alors que 
30 la reallocation des registres conformement a 1' objet de 

la presente invention opere dans un cadre oil le nombre 
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total de registres est variable, en consequence de quoi 
il n f y a pas lieu d'effectuer des transferts entre 
registres et piles alors gu'un processus de 
minimisation du nombre total de registres est mis en 

5 oeuvre . 

Le protocole de gestion d'un fragment de programme 
telecharge sur un systeme embarque et les procSdes de 
verification de ce fragment de programme telechargi, 
respectivement de transformation de ce code objet de 

10 fragment de programme telecharge, objets de la presente 
invention, peuvent bien entendu etre mis en ceuvre de 
maniere logicielle . 

A ce titre, 1 1 invention concerne egalement un 
produit programme d'ordinateur chargeable directement dans 

15 la memoire interne d*un systeme embarque reprogrammable, 
ce systeme embarque permettant le telechargement d'un 
fragment de programme constitue par un code objet, suite 
d' instructions, executable par le microprocesseur du 
systeme embarque par 1 1 intermediaire d'une machine 

20 virtuelle munie d'une pile d 1 execution et de registres ou 
variables locales manipules par ces instructions afin de 
permettre 1 1 interpretation de ce code objet. Le produit 
programme d'ordinateur correspondant comprend des portions 
de code objet pour 1' execution du protocole de gestion 

25 d'un fragment de programme telecharge sur ce systeme 
embarque, ainsi qu'illustre sur la figure 2 et la figure 6 
precedemment decrites dans la description, lorsque ce 
systeme embarque est interconnects a un terminal et que ce 
programme est execute par le microprocesseur de ce systeme 

30 embarque par 1 1 intermediaire de la machine virtuelle. 
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L ' invention concerne egalement un produit 
programme d'ordinateur chargeable directement dans la 
memoire interne d'un systeme embarque reprogrammable, tel 
qu'une carte a microprocesseur munie d'une memoire 

5 reinscriptible, ainsi qu'illustre en liaison avec la 
figure 6. Ce produit programme d'ordinateur comprenant des 
portions de code objet pour 1' execution des etapes de 
verification d'un fragment d'un programme telecharge sur 
ce systeme embarque, ainsi qu'illustre et decrit 

10 precedemment dans la description en liaison avec les 
figures 3a a 3 j . Cette verification est executee lorsque 
ce systeme embarque est interconnects a un terminal et que 
ce programme est execute par le microprocesseur de ce 
systeme embarqu€ par 1 1 intermediaire de la machine 

15 virtuelle. 

L 1 invention concerne egalement un produit 
programme d'ordinateur ; ce produit programme d'ordinateur 
comprend des portions de code objet pour 1' execution des 
etapes du procSde de transformation du code objet d'un 

20 fragment de programme en un code objet normalise pour ce 
meme fragment de programme, ainsi qu'illustre et 
represents aux figures 4a, 4b, respectivement 5a, 5b, 
ainsi qu'a la figure 6 et dScrites precedemment dans la 
description. 

25 La presente invention concerne egalement un 

produit programme d'ordinateur enregistre sur un support 
utilisable dans un systeme embarque reprogrammable, une 
carte a microprocesseur munie d'une memoire reinscriptible 
par exemple, ce systeme embarque permettant le 

30 telechargement d'un fragment de programme constitue par un 
code objet executable par ce microprocesseur, par 
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1 1 intermediaire d'une machine virtuelle munie d'une pile 
d' execution et de registres ou variables locales manipules 
par ces instructions, afin de permettre 1 1 interpretation 
de ce code objet. Le produit programme d'ordinateur 
5 precite comprend, an moins, un module de programmes 
lisibles par le microprocesseur du systeme embarque par 
1 ■ intermediaire de la machine virtuelle, pour commander 
l 1 execution d'une procedure de gestion du telechargement 
d ! un fragment de programme telecharge, ainsi que 

10 represente en figure 2 et decrit precedemment dans la 
description, un module de programmes lisibles par le 
microprocesseur par 1 1 intermediaire de la machine 
virtuelle pour commander l 1 execution d'une procedure de 
verification instruction par instruction du code objet 

15 constitutif du fragment de programme, ainsi qu'illustre et 
decrit en relation avec les figures 3a a 3j dans la 
description pr^cedente, et un module de programmes 
lisibles par le microprocesseur de ce systeme embarque par 
1 1 intermediaire de la machine virtuelle pour commander 

20 l 1 execution d'un fragment de programme telecharge suite a 
ou en 1' absence d'une transformation du code objet de ce 
fragment de programme en code objet normalise pour ce meme 
fragment de programme, ainsi que represente en figure 2. 

Le produit programme d'ordinateur precite comprend 

25 egalement un module de programmes lisibles par le 
microprocesseur par 1 1 intermediaire de la machine 
virtuelle pour commander 1' inhibition de 1' execution, sur 
le systeme embarque, du fragment de programme dans le cas 
d'une procedure de verification non reussie de fragment de 

30 programme precite, ainsi qu'illustre et decrit 
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precedemment dans la description en liaison avec la 
figure 2. 



WO 01/14958 



PCT/FR00/02349 



62 



ANNEXES 



TABLEAU 1 



Code de la methode 
en cours de verification 



aload 0 
aload 1 
sconst 3 
saload 
putfield C.f 



return 



"Pointeur sur ^instruction 
en cours de verification 



reg2 
regl 
regO 



± 

short []" 



t 






short 


Pointeur de 
pile de types 




short □ 


C 







Tableau de types de registres Pile de types 
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TABLEAU 2 



Pseudo-CQde module du verif icateur , 



PSEUDO-CODE DU MODULE' VERIFICATEUR 



Variables globales utilisees: 



PP 




chg 



nombre de registres declare par la methode courante 
taille maximale de pile declaree par la methode courante 
tableau de types de registres (402 dans la figure 4) 
type de pile (403 dans la figure 4) 
pointeur de pile (404 dans la figure 4) 
drapeau indiquant si tr a change 



Initialiser pp <- 0 

Initialiser tp[0] ... tp[n - 1] a partir des types des n arguments de la methode 
Initialiser tp[n] ... tp[T r -l] a ± 
Initialiser chg a vrai 
Tant que chg est vrai : 
Remettre chg a faux 

Se positionner sur la premiere instruction de la methode 
Tant que la fin de la methode n'est pas atteinte: 



Si 1' instruction courante est la cible d'une instruction de branchement 

Si pp = 0, echec de la verification 
Si 1* instruction courante est la cible d'un appel de sous-routine: 

Si l'instruction precedente continue en sequence, echec 

Prendre tp[0] retaddr et r- 1 
Si 1 ' instruction courante est un gestionnaire d' exceptions de classe C: 

Si 1* instruction precedente continue en sequence, echec 

Faire tp[0] r- C et pp 1 
Si 1' instruct ion courante est une cible de sortes differentes: 

Echec de la verification 
Determiner les types fli,...,a n des arguments de 1 ' instruction 
Si pp<n, echec (debordement de pile) 
Pour i = 1,... ,n: 

Si tp\pp — n — x — 1] n'est pas sous-type de o,* f echec 
Faire pp «*— pp — n 

Determiner les types rx,...,r m des resultats de 1 'instruction 
Si pp + rn>T p , echec (debordement de pile) 
Pour x = l,...,m, faire tp\pp -r t — 1] r,- 
Faire pp -f— pp-rm 

Si 1 'instruction courante est une ecriture dans un registre r: 

Determiner le type t de la valeur ecrite dans le registre 

Faire tr[r] borne inferieur^t, tr[r]) 

Si tr[r] a change, faire chg <- vrai 
Si 1 'instruction courante est un branch ment: 

Si pp =0, echec de la verification 
Avancer a la prochaine instruction 



Renvoyer un code de succes de la verification 
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TABLEAU T3 

static short [] meth(short [] tableau) 
{ 

short [] result at = null; 

if (tableau. length >= 2) resultat - tableau; 
return tableau; 



TABLEAU T4 

Premiere iteration sur le code de la methode: 



. , , Tableau des tvpes des registres Type de la pile 

Code de la methode |r0: short U 



0 
1 
2 

•3 
•j 

4 
5 
7 
8 
9 

10 



aconst.null 



astore 1 



aload 0 



ri: X 



arravlen^th 



sconst 2 



rQ: short □ | rl: X I 

rO: short U | rl: null 1 

rO: short □ 1 rl: null j 

IrO: short Gi ri: null | 



if.scmplt 9 



aload 0 



astore 1 



aload 1 



are turn 




| rQ: short □ 1 rl: null 
| rO: short U I rl: null 



rO: short [3| rl: null 
|rO: shortUIrl: short U 
rQ : short □ | rl : short if 



Seconde iteration sur le code de la methode: 



0 
1 

2 

3 
4 
5 
7 
8 
9 

10 







aconst.null 


|r0: shortU|rl: short U| 


astore 1 


|rO: shortUIrl: short U I 


aload 0 


|rO: shortUIrl: short U | 


arraylength 


|r0: shortUIrl: short [] | 


sconst 2 


/--IrO: shortUIrl: shortUI 


if_scmplt 9 — 




...-|rO: shortUIrl: short U | 


aload 0 




l-..|r0: shortUIrl: short [j | 


astore 1 




....|r0: shortUIrl: short [J | 


aload 1 


|r0: shortUIrl: short U| 


aretum 





null 



short □ ! 



snort 



short | short 



short U' 



short U 1 



null 



short U" 



short 



short short 



short U 



short U | 



WO 01/14958 



PCT/FR00/02349 



65 



TABLEAU T5 



(a) Violation des contraintes de types sur les arguments d'une instruction: 

• | rO: Object [ | 



0 : 


aload 0 




1 : 


sconst 1 




2 : 


sadd 




3 : 


areturn 





Object 



rO: Object _ 

rQ: Object | | Object \ short "] 

Erreur: le type de la pile ne correspond pas 
a ce qu'attend Instruction (short, short) 



(b) Utilisation incoherente d'un registre: 



sload 0 



ifeq 6 



aconsx.null 



astore 0 



aioad 0 



areturn 




rO: short 
rO: short 
rO: short 



snort 



rO: 



rO: 



short 



null 



1 



Erreur: le type de la pile ne correspond pas 
a ce qu'attend Tinstruction (Object) 



(c) Branchements introduisant des incoherences au niveau de la pile: 

l 



sload 0 




ifeq 8 — 




sconst 1 






goto 9 - 






aconst.null 


areturn 





rO: short 



| rO: 


short | 


| short | 


| rO: 


short 1 


1 


| rO: 


short | 


[ short | 



Erreur: pile non vide a un point de branchement 



(d) Dibordement de pile a I'interieur d'une boucle: 

• \ rO: short | j 



0 : 


sload 0 


1 : 


ifeq 11 








4 : 


sconst 1 


5 : 


sine 0 -1 


S : 


goto 0 - 


11 : 


return \ 



| rO: 


short | 


| short | 


| rO: 


short | 


\ 


1 rO: 


short | 


| short | 




| rO: 


short | 


| short j 



Erreur: pile non vide a un point de branchement 
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TABLEAU T6 



(a) Code initial de la mithode, annote par les types des registres et de la pile: 



0 
1 
4 
•5 
8 
9 

10 
11 
12 



aload 0 




ifnull 8 - 




iconst 1 






goto 9 — 




iconst 0 






ineg 






istore 0 




iload 0 





iretura 






rO: Object 
rQ: Object 
rQ: Object 
♦ | rO: Object 
rO: Object 
rO: Object 
rQ: Object 
rQ : tat 
rO: int 



Object) 



mt 



int 



int 



int | 



TABLEAU T7 



(b) Code de la mithode apres normalisation de la pile au niveau du branchernent 5 -f 9: 



0 
1 
4 
4' 
5 
3 
8' 
8 n 
9 
10 



istore 1 



iload 1 



istore 0 



aload 0 


I | rO: 


Object | 


rl 


: J. | 


ifnull 8 - 


I | rO: 


Object | 


rl 


± 1 


iconst 1 




| r0: 


Object | 


rl 


= «L 1 


istore 1 




-| rO: 


Object | 


rl 


: i 1 


goto 8" — 




•-I rO: 


Object | 


rl; 


int | 


iconst 0 




•H rO: 


Object | 


rl: 


int | 



rO: Object | rl: j. 



■| rO: Object | rl: 



int 



rQ: Object | rl: int 
rQ: Object | rl: int 



Gbject] 



int 



int 



int 



int 
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TABLEAU T8 



(c) Code de la methode apres reallocation des registres: 



0 : 


aload 0 


1 : 


ifnull 8 - 


4 : 


iconst 1 


4' : 


istore 1 


5 : 


goto 8" - 


8 : 


iconst 0 


8' : 


istore 1 


8" : 


iload 1 


9 : 


ineg 


10 : 


istore 1 


11 : 


iload 1 


12 : 


ireturn 




rO: Object 



rO: Object 



rO: Object 



rO: Object 



rO: Object 



rO: Object 



rO: Object 

rO: Object 

rO : Object 

rO: Object 

rO: Object 

rO: Object 



rl: J- 



rl: X 



rl: X 



rl: 



rl: mt 



rl: int 



rl: -L 
rl: int 
rl: int" 
r 1 : int" 
rl: int" 
rl: ant 



[Object | 



int 1 



int 



int 



int 



int 1 



TABLEAU T9 



(a) Cible de branchement, instruction precidente ne continuant pas en sequence: 
Branchement Branchement 



instr. non seq. 



instruction i 



etat de ia pile 
EE 




instr. non seq. 



Normalisation 



load ri 



load T2 



instruction i 



etat de la pile 

I 

0 
EH 



WO 01/14958 




PCT/FROO/02349 



TABLEAU TIP 



(b) Cible de branchement. instruction precedente continuant en sequence: 



Branchement 



instr. seq. 



instruction i 



Branchement 



Normalisation 



instr. seq. 



store ro 



store rj 



load r x 



load r 2 



instruction i 



HID 

0 
! 

E 
EH 



TABLEAU Til 



(c) Branchement inconditionnel sans arguments: 

Normalisation 



i 

T 

Cible 



goto 



r 

Cible 



store r2 



store rj 



goto 



|qT51 

I 



TABLEAU T12 



(d) Branchement conditionnel a un argument: 



Cible 



if eq 



Normalisation 



EES 



r 

Cible 



swap_x 2 , 1 



store r2 



store rj 



if eq 



load ri 
load r-> 



\a\b\P\ 

ESS 
fFTal 

E 
I 

0 
[US 
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RE VEND I CAT I ONS 
1. Protocole de gestion d'un fragment de programme 
telecharge sur un systeme embarque reprogrammable, tel 
qu'une carte a microprocesseur munie d'une memoire 

5 reinscriptible, ledit fragment de programme etant 
const itue par un code objet, suite d ' instructions , 
executable par le microprocesseur du systeme embarque par 
1 ' intermediaire d'une machine virtuelle munie d'une pile 
d' execution et de registres ou variables locales 

10 manipulees par ces instructions et permettant 
d" interpreter ce code objet, ledit systeme embarque etant 
interconnects a un terminal, caracterise en ce que ce 
protocole consiste au moins, au niveau dudit systeme 
embarque : 

15 a) a detecter une commande de telechargement de ce 
fragment de programme ; et sur reponse positive a 
cette etape consistant a detecter une commande de 
telechargement, 

b) . a lire le code objet constitutif de ce fragment de 
20 programme et a memoriser temporairement ce code 

ob j et ; 

c) a soumettre 1' ensemble du code objet memorise 
temporairement a un processus de verification 
instruction par instruction, ce processus de 

25 verification consistant au moins en une Stape 

d' initialisation de la pile des types et du tableau 
des types de registres, representant l f etat de ladite 
machine virtuelle au debut de 1' execution du code 
objet memorise temporairement et en une succession 

30 d'etapes de verification instruction par instruction, 

par discrimination de 1« existence, pour chaque 
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instruction courante, d'une cible, cible d 1 instruction 
de branchement , cible d'un appel d'un gestionnaire 
d 1 exceptions ou cible d'un appel de sous-routine et 
par une verification et une actualisation de l'effet 
5 de ladite instruction courante sur la pile des types 

et sur le tableau des types de registres, et, dans le 
cas d'une verification reussie dudit code objet, 

d) a enregistrer le fragment de programme telecharge dans 
un repertoire de fragments de programmes disponibles, 

10 et, dans le cas d'une verification non reussie dudit 

code objet, 

e) a inhiber 1" execution, sur ledit systeme embarque, 
dudit fragment de programme . 

2. Protocole selon la revendication 1, caracterise 
15 en ce que ladite etape e) d' inhibition de 1" execution 

consiste : 

f) a ef facer le fragment de programme enregistre 
moment anement , en l 1 absence d ' enregistrement de ce 
dernier dans ledit repertoire de fragments de 

20 programmes disponibles, et 

g) a adresser audit lecteur un code d'erreur. 

3. Protocole selon la revendication 1 ou 2, 
caracterise en ce que, sur reponse negative a ladite etape 
a) consistant a detecter une commande de telechargement , 

25 celui-ci consiste : 

b») a detecter une commande de selection d'un fragment de 
programme disponible dans un repertoire de fragments 
de programmes ; et, sur reponse positive a cette etape 
consistant a detecter une commande de selection d'un 

30 fragment de programme disponible ; 
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c») a appeler ledit fragment de programme disponible 
selectionne ; 

d 1 ) a executer ledit fragment de programme disponible 
appele par 1 ' intermediaire de la machine virtuelle, en 
5 1* absence de toute verification dynamique de types de 

variables, des droits d'acces aux objets manipules par 
le fragment de programme disponible appel£, du 
debordement de la pile d* execution lors de 1' execution 
de chaque instruction, et, sur reponse negative a 
10 cette etape consistant a detecter une commande de 

selection d'un fragment de programme disponible, 
e 1 ) a proceder au traitement des commandes standards du 
systeme embarque . 

4. Procede de verification d'un fragment de 
15 programme telecharg€ sur un systeme embargu€ 
reprogrammable, tel qu'une carte a microprocesseur munie 
d'une memoire reinscriptible, ledit fragment de programme 
etant constitue par un code objet et comportant au moins 
un sous -programme, suite d 1 instructions , executable par le 
20 microprocesseur du systeme embarque par 1 1 intermediaire 
d^ne machine virtuelle munie d'une pile d 1 execution et de 
registres d'operandes manipules par ces instructions et 
permettant d 1 interpreter ce code objet, ledit systeme 
embarque etant interconnects a un lecteur, caract^rise en 
25 ce que ledit procede consiste, suite a la detection d'une 
commande de telechargement et a la memorisation dudit code 
objet const itut if de ce fragment de programme dans ladite 
memoire reinscriptible, pour chaque sous -programme : 
a) a effectuer une etape d 1 initialisation de la pile des 
30 types et du tableau des types de registres par des 

donnees representant 1 ' etat de la machine virtuelle au 
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debut de 1" execution du code objet memorise 
temporairement ; 
p) a effectuer une verification dudit code objet memorise 
temporairement instruction par instruction, par 
5 discrimination de I 1 existence, pour chaque instruction 

courante, d'une cible, cible d 1 instruction de 
branchement, cible d'un appel d'un gestionnaire 
d' exceptions ou cible d'un appel de sous-routine ; 
y) a effectuer une verification et une actualisation de 
10 l'effet de ladite instruction courante sur les types 

de donnees de ladite pile des types et dudit tableau 
des types de registres, en fonction de 1* existence 
d'une cible d 1 instruction de branchement , d'une cible 
d'un appel de sous -routine ou d'une cible d'un appel 
15 de gestionnaire d 1 exceptions , ladite verification 

etant reussie lorsque le tableau des types de 
registres n'est pas modifie au cours d'une 
verification de toutes les instructions et le 
processus de verification etant poursuivi instruction 
20 par instruction jusqu'a ce que le tableau des types de 

registres soit stable, en 1' absence de modification, 
le processus de verification etant interrompu sinon. 

5 . Procede de verification selon la revendication 
4, caracterise en ce que les types de variables manipulees 
25 au cours du processus de verification comprennent au 
moins : 

des identif icateurs de classes correspondant aux 
classes d'objets definies dans le fragment de 
programme ; 

30 - des types de variables numeriques comport ant au moins 
un type ghprt , entier code sur p bits, et un type 
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retaddr d'adresse de retour d'une instruction de saut 
JSR ; 

- un type null relatif a des references d'objets nulles ; 
un type object relatif aux objets ; 

- un premier type specifique JL, representant 
1 1 intersection de tous les types et correspondant a la 
valeur 0, nil ; 

- un deuxieme type specifique H, representant 1 'union de 
tous les types et correspondant a tout type de valeur. 

6. Procede selon la revendication 5, caracterise 
en ce que 1' ensemble desdits types de variables verifie 
une relation de sous-typage : 

object e T; 

± g mill. gh<?rt , retfldd?r. 

7. Proc£de selon l'une des revendications 4 a 6, 
caracterise en ce que lorsque ladite instruction courante 
est la cible d'une instruction de branchement, ledit 
procede de verification consiste a verifier que la pile 
des types est vide, le processus de verification etant 
poursuivi pour 1 1 instruction suivante dans le cas d'une 
verification positive, et, le processus de verification 
echouant et le fragment de programme etant rejete sinon. 

8. Procede selon l'une des revendications 4 a 7, 
caracterise en ce que lorsque ladite instruction courante 
est la cible d'un appel de sous -routine, ledit processus 
de verification verifie que 1 1 instruction precedente 
constitue un branchement inconditionnel , un retour de 
sous-routine ou une levee d' exception, ledit processus de 
verification, en cas de verification positive, procedant a 
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une reactualisation de la pile des types de variables par 
une entite de type retaddr. adresse de retour de la sous- 
routine, et, le processus de verification echouant et le 
fragment de programme etant rejete sinon. 
5 9. Procede selon l'une des revendications 4 a 8, 

caracterise en ce que lorsque 1 1 instruction courante est 
la cible d'un gestionnaire d " exceptions , ledit processus 
de verification verifie que 1 1 instruction precedente 
constitue un branchement inconditionnel , un retour de 

10 sous -routine ou une levee d' exception, ledit processus de 
verification, en cas de verification positive, procedant a 
une reactualisation de la pile des types par une entree du 
type des exceptions, et, le processus de verification 
echouant et le fragment de programme 6tant rejete sinon. 

15 10. Procede selon l'une des revendications 4 a 9, 

caracterise en ce que lorsque 1 1 instruction courante est 
la cible d'une pluralite de branchements incompatibles , le 
processus de verification echoue et le fragment de 
programme est rejete. 

20 11. Procede selon l'une des revendications 4 a 10, 

caracterise en ce que lorsque 1 1 instruction courante n'est 
la cible d'aucun branchement, le processus de verification 
continue par passage a une reactualisation de la pile des 
types . 

25 12. Procede selon l'une des revendications 4 a 11, 

caracterise en ce que l'etape de verification de l'effet 
de 1 1 instruction courante sur la pile des types comporte 
au inoins : 

- une etape de verification que la pile d' execution des 
30 types contient au moins autant d' entrees que 

1 1 instruction courante comporte d'operandes ; 
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- une etape de depilement et de verification que les 
types des entrees au sommet de la pile sont sous-types 
des types des operandes de cette instruction ; 

- une etape de verification de 1' existence d'un espace 
5 memoire suffisant sur la pile des types pour proceder a 

1 1 empilement des resultats de 1 1 instruction courante ; 

- une etape d 1 empilement sur la pile des types de donnees 
attribues a ces resultats. 

13. Procede selon la revendication 12, caracterise 
10 en ce que lorsque 1 1 instruction courante est une 

instruction de lecture d'un registre d'adresse n, le 
processus de verification consiste : 

a verifier le type de donnee du resultat de cette 
lecture par consultation de 1 1 entree n du tableau des 
15 types de registres ; 

. a determiner l'effet de 1 1 instruction courante sur la 
pile des types par depilement des entrees de la pile 
correspondant aux operandes de cette instruction 
courante et par empilement du type de donnees de ce 
20 resultat . 

14. Procede selon la revendication 12, caracteris£ 
en ce que lorsque 1 1 instruction courante est une 
instruction d'ecriture d'un registre d'adresse m, le 
processus de verification consiste : 

25 - a determiner l'effet de 1 1 instruction courante sur la 
pile des types et le type t de I'operande ecrit dans ce 
registre d'adresse m ; 

- a remplacer 1 ' entree de type du tableau des types de 
registres a l'adresse m par le type immediatement 

30 superieur au type precedemment stocke et au type t de 

l'operande ecrit dans ce registre d'adresse m. 
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15. Procede de transformation d'un code objet d'un 
fragment de programme, dans lequel les operandes de chague 
instruction appartiennent aux types de donnees manipulees 
par cette instruction, la pile d' execution ne presente pas 
5 de phenomene de debordement, pour chague instruction de 
branchement le type des variables de pile au niveau de ce 
branchement est le meme qu'au niveau des cibles de ce 
branchement, en un code objet normalise pour ce meme 
fragment de programme, dans lequel les operandes de chaque 

10 instruction appartiennent aux types de donnees manipulees 
par cette instruction, la pile d' execution ne presente pas 
de phenomene de debordement, la pile d' execution est vide 
a chaque instruction de branchement et a chaque 
instruction de cible de branchement, caracterise en ce que 

15 ce proced£ consiste, pour 1 1 ensemble des instructions 
dudit code objet : 

- a annoter chaque instruction courante par le type de 
donnees de la pile avant et apres 1' execution de cette 
instruction, les donnees d' annotation §tant calculees 

20 au moyen d f une analyse du flot des donnees relatif a 

cette instruction ; 

- a detecter au sein desdites instructions et de chaque 
instruction courante 1' existence de branchements 
respectivement de cibles de branchements pour lesquels 

25 ladite pile d' execution n'est pas vide, 1" operation de 

detection etant conduite a partir des donnees 
d' annotation du type des variables de pile allouees a 
chaque instruction courante, et en presence d'une 
detection d'une pile d' execution non vide, 

30 - a inserer des instructions de transfert des variables 
de pile de part et d 1 autre de ces branchements 
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respectivement de ces cibles de branchements afin de 
vider le contenu de la pile d' execution dans des 
registres temporaires avant ce branchement et de 
retablir la pile d' execution a partir desdits registres 

5 temporaires apres ce branchement, et a n'inserer aucune 

instruction de transfert sinon, ce qui permet d'obtenir 
un code objet normalise pour ce meme fragment de 
programme, dans lequel la pile d' execution est vide a 
chaque instruction de branchement et a chaque 

10 instruction de cible de branchement, en 1' absence de 

modification de 1' execution dudit fragment de 
programme . 

16. Procede de transformation d*un code objet d'un 
fragment de programme, dans lequel les operandes de chaque 
15 instructions appartiennent aux types de donn§es manipulees 
par cette instruction, et un operande de type determine 
ecrit dans un registre par une instruction de ce code 
objet est relu depuis ce meme registre par une autre 
instruction de ce code objet avec le meme type de donnee 
20 determine, en un code objet normalise pour ce meme 
fragment de programme, dans lequel les operandes de chaque 
instruction appartiennent aux types de donnees manipulees 
par cette instruction, un seul et meme type de donnee 
etant alloue a un meme registre dans tout ledit code objet 
25 normalise, caracterise en ce que ce proced§ consiste, pour 
1 1 ensemble des instructions dudit code objet : 
- a annoter chaque instruction courante par le type de 
donnee des registres avant et apres 1" execution de 
cette instruction, les donnees d' annotation etant 
30 calculees au moyen d'une analyse du flot des donnees 

relatif a cette instruction ; 
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a effectuer une reallocation des registres par 
detection des registres d'origine employes avec des 
types differents, division de ces registres d'origine 
en registres normalises distincts, un registre 
5 normalise pour chaque type de donnee utilise, et une 

reactualisation des instructions qui manipulent les 
operandes qui font appel auxdits registres normalises. 

17. Precede selon la revendication 15, caracterise 
en ce que l'etape consistant a detecter au sein desdites 
10 instructions et de chaque instruction courante 1' existence 
de branchements respectivement de cibles de branchement 
pour laquelle la pile d' execution n'est pas vide consiste, 
suite a la detection de chaque instruction de rang i 
correspondant : 

15 a associer a chaque instruction de rang i un ensemble 

de nouveaux registres, un nouveau registre etant 
associe a chaque variable de pile active au niveau de 
cette instruction ; 

a examiner chaque instruction detectee de rang i et a 
20 discriminer 1' existence d'une cible de branchement 

respectivement d'un branchement, et dans le cas ou 
1 1 instruction de rang i est une cible de branchement et 
que la pile d' execution au niveau de cette instruction 
n'est pas vide, 

25 • pour toute instruction precedente, de rang i-1, 

constitute par un branchement, une levee d' exception 
ou un retour de programme, 1 1 instruction detectee de 
rang i n' etant accessible que par un branchement, 
•• a inserer un ensemble d 1 instructions de chargement 

30 load a partir de 1 1 ensemble de nouveaux registres 

anterieurement a ladite instruction detectee de rang 
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i, avec redirection de tous les branchements vers 
1 1 instruction detectee de- rang i vers la premiere 
instruction de chargement load inseree ; et 

• pour toute instruction precedente, de rang i-1, 
5 continuant en sequence, 1 1 instruction detectee de 

rang i etant accessible a la f ois par 
1 ' intermediaire d'un branchement et de 1 1 instruction 
precedente de rang i-1, 
•• a inserer un ensemble d 1 instructions de sauvegarde 

10 ^tore vers l f ensemble de nouveaux registres 

anterieurement a ladite instruction detectee de rang 
i et un ensemble d 1 instructions de chargement load a 
partir de cet ensemble de nouveaux registres, avec 
redirection de tous les branchements vers 

15 1 1 instruction detectee de rang i vers la premiere 

instruction de chargement load inseree , et, dans le 
cas ou ladite instruction detectee de rang i est un 
branchement vers une instruction determinte, 

• pour toute instruction detectee de rang i constitute 
20 par un branchement inconditionnel, 

•• a inserer anterieurement a 1' instruction detectee de 
rang i une pluralite d 1 instructions de sauvegarde 
store . a chague nouveau regis tre etant associee une 
instruction de sauvegarde ; et 
25 • pour toute instruction detectee de rang i constitute 

par un branchement conditionnel et pour un nombre 
m > 0 d'operandes manipules par cette instruction de 
branchement conditionnel , 

a inserer anterieurement a cette instruction 
30 detectee de rang i une instruction de permutation, 



WO 01/14958 



PCT/FR00/02349 



80 

swap-x , au sommet de la pile d 1 execution des m 
operandes de 1 1 instruction detectee de rang i et des 
n valeurs suivantes, cette operation de permutation 
permettant de ramener au sommet de la pile 
d* execution les n valeurs a sauvegarder dans 
1 ! ensemble des nouveaux registres, et 

a inserer anterieurement a 1 1 instruction de rang i 
un ensemble d ' instructions de sauvegarde store vers 
l f ensemble de nouveaux registres, et 

a inserer posterieurement a 1 1 instruction detectee 
de rang i un ensemble d 1 instructions de chargement 
load a partir de 1' ensemble des nouveaux registres. 
18. Procede selon la revendication 16, caracteris^ 
en ce que 1 1 etape consistant a effectuer une reallocation 
des registres par detection des registres d'origine 
employes avec des types differents consiste : 

a determiner les intervalles de duree de vie de chaque 
registre ; 

a determiner le type de donnees principal de chaque 
intervalle de duree de vie, le type de donnees 
principal d'un intervalle de duree de vie j pour un 
registre r etant def ini par la borne sup€rieure des 
types de donnees stock£es dans ce registre r par les 
instructions de sauvegarde store appartenant a 
1' intervalle de duree de vie j ; 
- a etablir un graphe d 1 interferences entre les 
intervalles de duree de vie, ce graphe d 1 interferences 
consistant en un graphe non oriente dont chaque sommet 
est constitue par un intervalle de duree de vie et dont 
les arcs entre deux sommets ji et 32 existent si un 
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sommet contient une instruction de sauvegarde adressee 
au registre de l 1 autre sommet ou reciproquement ,- 
a traduire l'unicite d'un type de donnee alloue a 
chague registre dans le graphe d 1 interferences en 
5 ajoutant des arcs entre toute paire de sommets du 

graphe d 1 interferences tant que deux sommets d'une 
paire de sommets n'ont pas le meme type de donnee 
principal associe ; 

a effectuer une instanciation du graphe 

10 d 1 interferences / par attribution a chaque intervalle de 

duree de vie d'un numero de registre de telle maniere 
qu f a deux intervalles de vie adjacents dans le graphe 
d 1 interferences soient attribues des numeros de 
registres dif f erents . 
15 19. Systeme embarque reprogrammable par 

telechargement de fragments de programmes, comportant au 
moins un microprocesseur , une memo ire vive, un module 
d 1 entrees/sorties , une memoire non volatile reprogrammable 
electriquement et une memoire permanente dans laquelle 
20 sont implantes un programme principal et une machine 
virtuelle permettant 1 1 execution du programme principal et 
d'au moins un fragment de programme par 1 ' interm€diaire 
dudit microprocesseur, caracterise en ce que ledit systeme 
embarque comport e au moins un module de programme de 
25 gestion et de verification d'un fragment de programme 
telecharg§, ledit module de programme de gestion et de 
verification etant implante en memoire permanente. 

20. Systeme embarqu€ reprogrammable par 

telechargement de fragments de programmes, comportant au 
30 moins un microprocesseur, une memoire vive, un module 
d 1 entrees/sorties, une memoire non volatile reprogrammable 
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electriquement et une memoire permanent e dans laquelle 
sont implantes un programme principal et une machine 
virtuelle permettant 1' execution du programme principal et 
d'au moins un fragment de programme par 1 ■ intermediaire 
5 dudit microprocesseur, caracterise en ce que ledit systeme 
embarque comport e au moins un module de programme de 
gestion et de verification d'un fragment de programme 
telecharge suivant le protocole de gestion d'un fragment 
de programme telecharge selon l'une des revendications 1 a 
10 3, ledit module de programme de gestion et de verification 
etant implante en memoire permanente . 

21. Systeme embarque selon la revendication 20, 
caracterise en ce que celui-ci comport e au moins un module 
de sous -programme de verification d'un fragment de 

15 programme telecharge, suivant le processus de verification 
selon l'une des revendications 4 a 14 . 

22. Systeme de transformation d'un code objet d'un 
fragment de programme, dans lequel les operandes de chaque 
instruction appartiennent aux types de donnees manipulees 

20 par cette instruction, la pile d 1 execution ne presente pas 
de phenomene de debordement, pour chaque instruction de 
branchement le type de variables de pile au niveau de ce 
branchement est le meme qu'au niveau des cibles de ce 
branchement et un operande de type determine ecrit dans un 

25 registre par une instruction de ce code objet est relu 
depuis ce meme registre par une autre instruction de ce 
code objet avec le meme type de donnee determine, en un 
code objet normalise pour ce meme fragment de programme 
dans lequel les operandes de chaque instruction 

30 appartiennent aux types de donnees manipulees par cette 
instruction, la pile d' execution ne presente pas de 
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phenomene de debordement , la pile d' execution est vide a 
chaque instruction de branchement et a chaque instruction 
de cible de branchement, un seul et meme type de donnee 
etant alloue a un meme registre dans tout ledit code objet 

5 normalise, caracterise en ce que ledit systeme de 
transformation comporte au moins, implante en memoire de 
travail d 1 un ordinateur de developpement ou d'une station 
de travail, un module de programme de transformation de ce 
code objet en un code objet normalise suivant le procede 

10 selon l'une des revendicat ions 15 a 18, ce qui permet 
d'engendrer un code objet normalise pour ledit fragment de 
programme satisfaisant aux criteres de verification de ce 
fragment de programme telecharge. 

23. Un produit programme d' ordinateur chargeable 

15 directement dans la memoire interne d'un systeme embarqu§ 
reprogrammable, tel qu'une carte a microprocesseur munie 
d'une memoire reinscriptible, ce systeme embarqu§ 
permettant le telechargement d'un fragment de programme 
constitue par un code objet, suite d' instructions, 

20 executable par le microprocesseur du systeme embarquS par 
1 • intermediaire d'une machine virtuelle munie d'une pile 
d' execution et de registres ou variables locales 
manipulees par ces instructions et permettant 
d' interpreter ce code objet, ce produit programme 

25 d' ordinateur comprenant des portions de code objet pour 
1' execution du protocole de gestion d'un fragment de 
programme telScharge sur ce systeme embarque selon l'une 
des revendicat ions 1 a 3, lorsque ce systeme embarque est 
interconnects a un terminal et que ce programme est 

30 execute par le microprocesseur de ce systeme embarquS par 
1 • intermediaire de ladite machine virtuelle. 
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24. Un produit programme d'ordinateur chargeable 
directement dans la memoire interne d'un systeme embarque 
reprogrammable, tel qu'une carte a microprocesseur munie 
d'une memoire reinscriptible, ce systeme embarque 

5 permettant le telechargement d'un fragment de programme 
constitue par un code objet, suite d ' instructions , 
executable par le microprocesseur du systeme embarque par 
1 » intermediaire d'une machine virtuelle munie d'une pile 
d' execution et de registres d'operandes manipules par ces 

10 instructions et permettant d 1 interpreter ce code objet, ce 
produit programme d'ordinateur comprenant des portions de 
code objet pour 1 ' execution des etapes de verification 
d'un fragment de programme telecharge sur ce systeme 
embarque selon l'une des revendications 4 a 14 lorsque ce 

15 systeme embarque est interconnects a un terminal et que ce 
programme est execute par le microprocesseur de ce systeme 
embarque par 1 1 intermediaire de ladite machine virtuelle. 

25. Un produit programme d'ordinateur comprenant 
des portions de code objet pour 1' execution des etapes du 

20 procede de transformation d'un code objet d'un fragment de 
programme telecharge en un code objet normalise pour ce 
meme fragment de programme selon l'une des revendications 
15 a 18. 

26. Un produit programme d'ordinateur enregistrS 
25 sur un support utilisable dans un systeme embarque 

reprogrammable, tel qu'une carte a microprocesseur munie 
d'une memoire reinscriptible, ce systeme embarque 
permettant le telechargement d'un fragment de programme 
constitue par un code objet, suite d ' instructions , 
30 executable par le microprocesseur du systeme embarque par 
. 1 ' intermediaire d'une machine virtuelle munie d'une pile 
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d' execution et de registres ou variables locales 
manipulees par ces instructions et permettant 
d 1 interpreter ce code objet, ce produit programme 
d'ordinateur comprenant au moins : 
5 - des moyens de programmes lisibles par le 
microprocesseur de ce systeme embarqu6 par 
1 1 intermediaire de ladite machine virtuelle, pour 
commander 1' execution d ! une procedure de gestion du 
telechargement d'un fragment de programme telecharge ; 
10 - des moyens de programmes lisibles par le 
microprocesseur de ce systeme embarque par 
1 1 intermediaire de ladite machine virtuelle, pour 
commander 1' execution d'une procedure de verification 
instruction par instruction du code objet constitutif 
15 dudit fragment de programme ; 

des moyens de programmes lisibles par le 
microprocesseur de ce systeme embarqu6 par 
1 ' intermediaire de ladite machine virtuelle pour 
commander 1 • execution d ■ un fragment de programme 
20 telecharge suite a ou en 1 ' absence d'une transformation 

du code objet de ce fragment de programme en code objet 
normalise pour ce meme fragment de programme. 

27. Un produit programme d'ordinateur selon la 
revendication 26, comprenant en outre des moyens de 
25 programmes lisibles par le microprocesseur de ce systeme 
embarque par 1 1 intermediaire de ladite machine virtuelle 
pour commander 1" inhibition de 1' execution, sur ledit 
systeme embarque, dudit fragment de programme dans le cas 
d'une procedure de verification non reussie de ce fragment 
30 de programme. 
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